阿里系大多使用了MTOP来加签请求,所以需要通过hook的方式关掉这个加签。
使用VirtualXposed + JustTrustMe+ Fiddler
@Override
public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {
XposedBridge.log("========START=====");
if(lpparam.packageName.contains("com.taobao")){
XposedUtil.checkXposed(lpparam);
XposedHelpers.findAndHookMethod(XposedHelpers.findClassIfExists("mtopsdk.mtop.global.SwitchConfig", lpparam.classLoader), "isGlobalSpdySwitchOpen",
new XC_MethodHook() {
protected void afterHookedMethod(MethodHookParam methodHookParam) throws Throwable {
super.afterHookedMethod(methodHookParam);
XposedBridge.log("========开启抓包=====");
methodHookParam.setResult(Boolean.valueOf(false));
}
});
}
}
Fiddler设置抓包HTTPS,打开淘宝,就能在Fiddler看到请求了
但实际验证过程中,需要安装Fiddler证书到系统凭证,这就需要root.,可能是JustTrustMe不起作用。