使用Charles进行HTTPS抓包

最新推荐文章于 2023-07-25 15:59:30 发布
最新推荐文章于 2023-07-25 15:59:30 发布
阅读量140 收藏
点赞数
文章标签: 操作系统 移动开发 网络
原文链接:http://www.cnblogs.com/niel/p/9480311.html
版权

背景:

在进行App测试或定位线上问题时,经常会遇到抓取HTTPS数据包的需求。一般在windows上会使用fiddler,Mac上使用Charles。对于https请求,抓到的数据因为经过了加密,只能看到乱码。

本文介绍如何使用Charles来抓取https网络报文。操作步骤已在MAC + iphone上亲测。

操作原理

关键的操作思想:
1. 构造一个中间人代理,它有能力完成TLS/SSL握手
2. 弄到一个根证书,并用它生成签名认证的代理服务器证书

<p>  Charles就是一个理想的中间人,它支持SSL握手,可以自动根据根证书生成一个签名的服务器证书,并且它的官网为我们提供了一个根证书。
  我们要做的就是在客户端安装好这个根证书,然后让我们的操作系统信任它。对App来说,需要设法在IOS或Android上装上这个官网提供的根证书。
  完成上述步骤后,App再指定Charles为它的代理服务器,这时,App请求的服务器证书就是Charles自动生成的代理服务器证书。如果Charles的根证书已被信任,这个自动生成的代理服务器证书是有效的,使用它App和Charles的TLS握手可以顺利完成。</p>

以下是详细的操作步骤:

分步指南

第一步:配置HTTP代理,这步与抓取HTTP请求是一样的:
图1

选择在8888端口上监听,然后确定。够选了SOCKS proxy,还能截获到浏览器的http访问请求。

图2
第二步:配置SSL代理:

首先在charles的 Proxy选项选择SSL Proxy Settings

图3

点add添加需要监视的域名,支持 *号通配符,端口一般都是443:

第三步 为手机设置代理

在手机无线中配置手动代理,输入安装Charles的电脑的网络地址,端口填8888。

第四步 安装根证书
在手机上安装Charles的根证书:

以IOS为例,在Safri上打开Charles的根证书下载网址: chls.pro/ssl 。
顺利的话会出现这样的画面,继续点安装,然后去设置里的描述文件管理中信任它就行了。

图4

如果不能下载,检查手机是否正确设置了代理,Charles是否已经打开并配置正确。

电脑端的根证书安装

以MAC为例,直接在Charles的Help菜单中安装;安装完成后去系统的钥匙串访问中信任它。

图5

完成后:试试看抓一下QQ空间的数据,将..qq.com 和*.qq.com 添加到SSL Proxy的Setting中后,配置好手机代理,打开手机QQ空间App
可以看到抓取到的报文如下:

图6

几点说明:

  1. 本文的操作指南是在MAC+iphone5s+Charles上实践的。文中开头已经讲述了HTTPS使用中间人代理抓包的简单原理和核心操作思想,其他环境下可以类比。
  2. 有些人认为https可以完美防止中间人攻击,无法抓到https的明文包...... 其实是不对的,TLS的设计只能说是从技术上最大限度地保护网络报文的安全,它无法防止用户自己作死。
  3. 网络安全和用户的安全意识是强相关的,技术的防范能力总是有限的。在实际生活中养成良好的上网习惯,千万不能随意信任不明来源的证书,轻视浏览器、操作系统或其他App给我们发出的安全警告。


作者:秋水時至
链接:https://www.jianshu.com/p/7a88617ce80b
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

转载于:https://www.cnblogs.com/niel/p/9480311.html

weixin_30502157
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Charles进行https抓包-附件资源
03-05
使用Charles进行https抓包-附件资源
Charleshttps抓包使用
yunannan_0820的博客
10-24 3696
Charleshttps抓包使用
Charles 抓包 Https 配置指南
Eric的博客
08-20 7328
一、说明 在做客户端开发的时候大家一定经常用到抓包工具去抓接口排查调试,非常的简捷方便。Charles 是一款非常好用的抓包工具,我在日常开发也很喜欢用其进行接口联调、问题排查。 以前的客户端接口请求大多是 Http 传输的,抓接口直接配置代理就可以了,而现在很多应用都改为使用Https 加密传输,用 Charles 直接查看完全是一堆乱码。 Charles 到底可以抓包 Https 吗 .........
Charles如何抓取https请求-移动端+PC端,学完不要去做坏事哦
分享测试知识
06-17 7810
Charles安装完成,默认只能抓取到http请求,如果查看https请求,会显示unkonw或其它之类的响应。所以需要先进行一些配置,才能抓取到完整的https请求信息。下面针对PC端和手机抓包的情况,分别进行说明。 PC端如何配置才能抓取到https请求:1. 安装证书:在顶部工具栏选择“help--Install Charles CA SSL Certificate”;2. 然后会弹出证书信息,选择安装证书,接下来将证书存储改为:受信任的根证书颁发机构,接下来都点“下一步”;.最后一步前可能会弹一
Charles抓包Https请求显示Unknown解决方案.pdf
06-18
Charles抓包Https请求显示Unknown解决方案
解决Charles抓包https时,无法查看CONNECT请求的问题
08-28
下面小编就为大家分享一篇解决Charles抓包https时,无法查看CONNECT请求的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
charles http/https抓包设置
01-24
详细介绍charlse设置,如何在ios/android设置https证书
Charles抓取https请求及常见问题解决
程序员小杨哥的博客
03-10 2万+
Charles如何抓取https请求?为什么配置、证书都安装好了,手机还是只能抓http请求的包?本文带你快速解决问题~
测试必备工具之抓包神器 Charles 如何抓取 https 数据包?
2301_78276982的博客
07-25 2646
​ 之前我们发过一篇文章讲解了Charles抓包工具的基本使用,有需要的小伙伴可以去看上一篇文章。 之前文章讲的数据包主要是http协议,大家可以看到数据包并直接显示具体详细的内容: ​
charles 抓包https
haifangnihao的博客
03-16 5005
一、Mac安装Charles根证书 二、信任Charles根证书 在钥匙串找到Charles Proxy CA证书,设置为“始终信任”,这里会让你输入密码,直接写Mac开机密码即可。 三、Charles设置“Enable SSL Proxying” 在弹出框“Enable SSL Proxying”,然后入需要抓包HTTPS的Host和Port,如果需要抓取所有HTTPS,则Host入“*”,Port一般“443”即可。 四、移动设备上安装Charles证书 步骤1: 设置网络
最简单的Charles抓包https教程
热门推荐
流星雨的博客
09-30 2万+
最简单的Charles抓包https教程 这里介绍charles抓包教程,亲测可行 一、背景 对于我司app都是使用https网络请求,但开发需要快速定位问题,因而对https请求抓包有非常高的依赖性。如果不对https做别的处理,抓包就像下面一样啥都看不到 二、pc端安装根证书 charles点击安装Help -> SSL-Proxying -> Install Charles Root Certificate。 如没有安装Charles参考这里 三、手机端下载charle
Charles 抓包工具教程(二) Charles 抓包HTTPS请求
雨水的早晨的博客
11-08 3681
charles 抓包HTTPS请求
使用CharlesHttps请求进行抓包
Bob的专栏
10-26 7322
昨天对某个APP做分析的时候发现其请求是Https的,抓包工具不能正常的显示请求的内容及返回的情况。通过搜索发现Charles是支持针对Https抓包的。具体的操作如下:  1、电脑安装SSL证书 2、手机安装SSL证书 证书下载地址:https://www.charlesproxy.com/documentation/additional/legacy-ssl-
Charles】-苹果手机 IOS15.4 抓HTTPS
记忆、理解、表达和融会贯通。
06-12 8068
本文以Windows + IOS + Charles为例,简单说明抓包的原理,配置步骤以及遇到的坑。
十分钟学会Charles抓包(iOS的http/https请求)
LzwGlory的专栏
11-17 1619
本文使用Charles版本是4.1.1,Mac OS版本是10.12.4,主要内容: 下载 安装 破解 Mac HTTP抓包 iOS HTTP抓包 iOS HTTPS抓包 下载 安装 官方下载最新版本:https://www.charlesproxy.com/download/ 如下图,下载Mac OS版本 Paste_Image.png 也可使用我下载好的:https://pan.baidu.com/s/1sl0gKFz 下载下来后直接安装 破解 Charles是收费的,打开时会
安卓手机/pad用Charles抓包https(mac版超详细教程)
weixin_43500974的博客
03-31 1万+
此时会启动“钥匙串访问”APP,并找到刚开安装好的证书,证书名字:Charles Proxy CA,找不到的可以搜索框搜下。选择OK,弹框提示内容里写了怎么在手机使用charles代理,接下来我们就按照步骤来操作。这个链接下载证书包,然后修改后缀 将.pem的后缀改为.crt,发送到手机安装;这时再次单击我们重命名的文件,按提示给证书取个名字,安装成功。我们选下载好的文件,点击更多-任务详情,去文件管理找到它。更改为始终信任,并关闭窗口输入密码保存。直接点击,却提示“无法打开文件”,怎么办?
charles抓包https
最新发布
08-02
Charles是一款用于抓取网络请求的工具,但默认情况下只能...总结起来,要使用Charles进行HTTPS抓包,需要安装Charles进行相应的配置,包括安装根证书和设置代理。这样,Charles就能够成功地抓取HTTPS请求的信息了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值