本文详细介绍了如何在不root Android设备的情况下,通过BurpSuite设置代理和安装证书来抓取HTTPS请求。步骤包括安装BurpSuite,配置代理,安装浏览器代理插件,下载并安装Burp的内置证书到设备,以及转换证书格式以便在Android上安装。
一、问题分析
一般来说安卓的APP端测试分为两个部分,一个是对APK包层面的检测,如apk本身是否加壳、源代码本身是否有恶意内嵌广告等的测试,另一个就是通过在本地架设代理服务器来抓取app的包分析是否存在漏洞。而通常使用最广泛的工具burpsuite对于采用http协议开发的app来说是可以抓包的,但是如果app采用了SSL或TLS加密传输的话,由于证书不被信任的关系将会导致无法抓包。解决方法就是在移动终端中装入burpsuite证书。
第一步:BurpSuite安装和配置
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描(付费)等类似Fiddler和Postman但比其更强大的功能。那么我们今天就从工具的使用上为大家进行教学。
环境要求:配置Java环境 ,我安装的使JDK1.8
第二步.安装Burp Suite
Burp Suite工具安装下载地址:https://portswigger.net/burp/版本区分为社区版本和职业版本。Burp Suite工具支持不同的操作系统安装(windows/mac os/linux平台等)下载首页如图所示:
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
