HTTP/HTTPS 请求与防抓包

最新推荐文章于 2024-07-06 03:08:29 发布
最新推荐文章于 2024-07-06 03:08:29 发布
阅读量4.1k 收藏 7
点赞数
分类专栏: Android性能优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanwenyuan0304/article/details/106357771
版权

TCP/IP分层

TCP/IP的分层共分为四层:应用层、传输层、网络层、数据链路层;

  • 应用层:向用户提供应用层服务时的通讯活动(ftp、dns、http)
  • 传输层:网络连接中两台计算机的数据传输(tcp、udp)
  • 网络层:处理网络上流动的数据包,通过怎样的传输路径把数据包传送给对方(ip)
  • 网络链路层:与硬件相关的网卡、设备驱动等等

HTTP/HTTPS

HTTP
HyperText Transfer Protocol (超文本传输协议) 被用于在Web浏览器和网站服务器之间传递信息,在TCP/IP中处于应用层

  • 通过使用明文,内容可能被窃听
  • 不验证通信方的身份,因此又可能遭遇伪装
  • 无法证明报文的完整性,所以又可能遭到篡改

HTTPS

HTTPS中的S 表示SSL或者TLS,就是在原HTTP的基础上加上一层用于数据加密、解密、身份认证的安全层

  • HTTP + 加密 + 认证 + 完整性保护 = HTTPS
    HTTPS单向认证:
    在这里插入图片描述
    HTTPS双向认证:

在这里插入图片描述

抓包原理

在这里插入图片描述

防抓包:代理检测

检测事发后使用网络代理
将网络库(如okhttp库)设置为无代理模式,不走系统代理
httpURLConnection:

URL url = new URL(urlStr);
urlConnection = (HttpURLConnection)url.openConnection(Proxy.NO_PROXY);

OKHttp

OkHttpClient client = new OkHttpClient().newBuilder().proxy(Proxy.NO_PROXY).build();
怎么抓设置上面后的代码的包?

使用HOOK技术
在这里插入图片描述

防抓包:证书固定

SSL-Pinning

  • 证书锁定(Certificate Pinning)
    在客户端代码内置仅接收指定域名的证书,而不接收操作系统或浏览器内置的CA根证书对应的任何证书。
  • 公钥锁定(Public Key Pinning)
    提取证书中的公钥并内置到客户端中,通过与服务器对比弓腰值来验证连接的准确性。
如何破解证书固定(SSL-Pinning)

Xposed框架 + justTrustme模块

  • Xposed框架:Android 上应用广泛的HOOK框架,基于Xposed框架制作的外挂模块可以hook任意应用层的java函数,修改函数实现。
  • justTrustMe插件:justTrustMe是一个用来禁用、绕过SSL证书检查的基于Xposed模块。将Android系统中所有用于校验SSL证书的API都进行来HOOK,从而绕过证书检查

防抓包:解决HOOK

  • 检查HOOK:检查Xposed、Frida、Substrate等Hook框架
  • 使用Socket连接:使用Socket走TCP/UDP,防止应用层被抓包
  • 传输数据加密:协议字段加密传输,并隐藏密钥,应用层加固
  • native层传输:将网络传输逻辑写到jni实现,提高反编译门槛
小小米乐
关注
专栏目录
【APP爬虫-抓包篇】巧妙使用工具与技巧绕过安卓APP抓包
吴秋霖的博客
01-05 8512
最新且最全APP抓包汇总!使用各种工具与技巧绕过APP抓包护!
一行代码避免OkHttp的网络库应用被抓包
weixin_30828379的博客
05-18 618
在建立socket连接之前,OkHttp会获取系统的代理信息,如果设置代理,那么通过DNS解析其IP然后使用代理IP来建立socket连接。如果没有设置代理,那么会使用请求中的url的IP地址,来建立连接。 如果要抓包,那只需要绕过代理就可以了。 OkHttp使用ProxySelector来获取代理信息,在构造OkHttpClient时是可以设置的,其默认值是ProxySele...
字节一面:https 真的安全吗?可以抓包吗?如何抓包吗?(我当场去世)
chuhe1989的博客
09-09 1775
前言 转眼间,2020 年已过去一大半了,2020 年很难,各企业裁员的消息蛮多的,降职,不发年终奖等等。2020 年确实是艰难的一年。然而生活总是要继续,时间不给你丧的机会!如果我们能坚持下来,不断提高自己,说不定会有新的机会。 面试中,网络(httphttps, tcp, udp), jvm, 类加载机制等这些基础的知识点是高频出现的,每个程序员都能说上好多。但不一定说到重点,以及理解背后的原理。 我在面试的过程中也经常被问到,于是总结记录了下来。千万不要小瞧这些基础,有时候,你算法,项目经验都过了
python抓包
最新发布
weixin_37086414的博客
07-06 32
Python相关视频讲解:python的or运算赋值用法用python编程Excel有没有用处?011_编程到底好玩在哪?查看python文件_输出py文件_cat_运行python文件_shelPython 抓包 在网络爬虫和数据采集领域,止被网站反爬虫机制检测到是一项非常重要的工作。Python 作为一种强大...
网络安全——止被抓包
CSDN_430422的博客
06-29 1235
安全套接字层 (Secure Socket Layer, SSL) 是用来实现互联网安全通信的最普遍的标准。Web 应用程序使用 HTTPS(基于 SSL 的 HTTP),HTTPS 使用数字证书来确保在服务器和客户端之间进行安全、加密的通信。在 SSL 连接中,客户机和服务器在发送数据之前都要对数据进行加密,然后由接受方对其进行解密。
Ios应用网络安全之https
weixin_33901926的博客
01-14 240
戴维营教育原创文章,转载请注明出处。我们的梦想是做最好的iOS开发培训!iOS应用网络安全之HTTPS1. HTTPS/SSL的基本原理安全套接字层 (Secure Socket Layer, SSL) 是用来实现互联网安全通信的最普遍的标准。Web 应用程序使用 HTTPS(基于 SSL 的 HTTP),HTTPS 使用数字证书来确保在服务器和客户端之间进行安全、加密的通信...
基于OkHttp的一种抓包方案
u010052279的专栏
04-16 1509
最近在读OkHttp3.9.0的源码,在了解了其代理机制之后发现了一种绕过代理,避免被抓包的方法。 在介绍这种抓包方法之前,需要先了解一下OkHttpsocket连接建立的过程。 由于这个过程比较复杂,我简述一下,在建立socket连接之前,OkHttp会获取系统的代理信息,如果设置代理,那么通过DNS解析其IP然后使用代理IP来建立socket连接。如果没有设置代理,那么会使用请求中的u...
Flutter中http请求抓包的完美解决方案
08-26
Flutter中http请求抓包的完美解决方案 在本篇文章中,我们将详细介绍 Flutter 中 http 请求抓包的完美解决方案。通过对 Flutter 中 http 相关源码的研读,我们发现了 http 请求抓包的关键所在。 首先,让我们从 ...
易语言截包(抓包)模块源码
05-27
"易语言截包(抓包)模块源码"是一个专门针对这一需求开发的组件,旨在保护软件的网络通信不被恶意的抓包工具窃取,从而确保数据的安全性。易语言是一种以中文编程为特色的编程语言,它降低了编程的门槛,使得更多的...
【APP抓包篇】IOS应用抓包护绕过实战教程
吴秋霖的博客
01-08 6416
IOS应用抓包护绕过实战教程
Android开发如何止被Fiddler抓取HTTP/HTTPS数据包
01-03
Android开发过程中需要网络访问获取数据,一般都是通过HTTP/HTTPS请求服务器获取数据;      但是HTTP/HTTPS请求很容易被别人使用一些像Fiddler等抓包工具抓取信息,对数据进行分析 很容易得到请求方式、请求接口地址、请求参数、消息头部信息、请求类型等信息,以及请求响应 返回的数据信息;            获取到这些信息后,一方面可以分析数据得到想要的数据,如获取视频网站中的视频路径等, 另一方面可以模拟各种请求不断发送到服务器,这样可以不停的从服务器获取数据,还可能造成服 务器负载过大;      有童鞋可能说我可以对数据进行加密,这样即使抓取到数据也无法识别;
面试:HTTPS抓包的方法
王温暖的博客
12-23 4370
https 可以抓包HTTPS 的数据是加密的,常规下抓包工具代理请求后抓到的包内容是加密状态,无法直接查看。 但是,我们可以通过抓包工具来抓包。它的原理其实是模拟一个中间人。 通常 HTTPS 抓包工具的使用方法是会生成一个证书,用户需要手动把证书安装到客户端中,然后终端发起的所有请求通过该证书完成与抓包工具的交互,然后抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端,从而完成整个请求的闭环。 如何抓包? 对于HTTPS API接口,如何抓包呢?既然问题出
Https 真的安全吗?可以抓包吗?如何抓包吗?
emprere的博客
06-13 835
上一篇:一个90后员工猝死的全过程作者:废柴程序员链接:https://www.jianshu.com/p/54ae53f17602背景我们知道,http 通信存在以下问题:通信使用明文可...
HTTPS工作原理以及Android中如何抓包
祝起光的博客
09-26 2957
1. HTTPS的定义 说道HTTPS,不得不提HTTP,HTTP最大的缺陷就是明文传输,数据传输过程中很容易被篡改,所以美国网景公司提出来HTTPS协议,相对HTTP,HTTPS多了一个S,这个S,其实就是SSL/TSL,SSL全称安全套接字层,TSL1.0(传输层安全协议)是SSL3.0的升级版,是用于服务器和客户端加密通信的,所以可以认为两者是同一种协议,SSL因为自身的不安全性,在Andr...
如何抓包篡改HTTP请求参数
zyxpython的博客
05-13 699
签名后的md5发生了变化,服务器端把请求参数1去做md5和之前做对比,发现不一样,就会知道发送过程中被黑客做了数据篡改。改变后:http://asdadsad.com?比如http://asdadsad.com?Api接口的验证签名,移动APP接口,都会做md5加密。可以查看是数据否发生变化。
https抓包抓包
吓成一坨兔子
02-01 9156
抓包工具 Charles Fiddler Charles使用 下载 PC端安装Charles根证书 help–>SSLProxying–>Install Charles Root Ceriticate 安装Charles根证书到手机 help–>SSLProxying–>Install Charles Root Ceriticate on a Mobile Devic...
App止被抓包
风尘的博客
09-15 5131
1.使用https,可以初步止一些只抓http包的软件。 2.如果网络框架使用的是OkHttp,可以在Builder中设置proxy(Proxy.NO_PROXY)属性,禁止使用代理,这样一般使用中间人的代理就使用不了,客户端是直接访问服务器。 3.判断是否使用了代理: final boolean flag = Build.VERSION.SDK_INT >=14; St...
【黑客入门】Java实现类似Fiddler那样的抓包工具,对http进行拦截抓包,并篡改返回来的数据!!!...
qq_18244417的博客
10-15 3308
最近在调试一个项目时常常需要对接口进行抓包查看,接口位于微信的公众号内,目前每次调试时都是用的 fiddler 进行抓包查看的。但每次打开 fiddler 去查看对应的接口并找到对应的参...
Fiddler抓包实战:修改User-Agent、HTTP请求与响应
以下是对Fiddler抓包功能的详细解释,包括如何修改User-Agent、HTTP请求以及HTTP响应。" **实验一:Fiddler修改User-Agent,伪装客户端** Fiddler允许用户改变发送到服务器的User-Agent头部,这在模拟不同设备访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值