关于接口抓包

查看 69|回复 7
作者:fenglirookie   
我现在有一个第三方的 APP ,我现在使用 Charles 抓包工具,手机已经安装 Charles 的证书,此时我配置好之后,app 上的每一个请求 Charles 上都会有记录 但是 contents 里面全是乱码。这种情况 我查了一下资料说的是因为 APP 做了双向验证 所以 抓不聊 https 的包,想咨询一个广大 V 友,对于这个有什么解决方案吗?

Charles, App, 抓包, contents

Tamamopoi   
小黄鸟安装系统级证书可解。
但是需要 root/虚拟机,系统证书放在/system/etc/security/cacerts ,重启后小黄鸟就能抓 https 的包了。
zh826256645   
https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458523106&idx=2&sn=9bd2c375ae6a68885425e336b5359ff1&chksm=b18d256886faac7e3de64677e080714f79c2d0863bc81fb3a9ada675020791fca0a3e97a61ae&scene=58&subscene=0#rd
这篇文章能为你解惑
cian   
这个需要逆向或者 decode 证书
libook   
也可能做了二次加密,先对数据加密,然后再扔给 HTTPS 二次加密传输,这种你用 HTTPS 证书抓出来的就是第一次加密的数据,要想解密得逆向 app 程序,找到密钥和加密算法,如果此时 app 还做了安全加固,就更难了。
CEBBCAT   
一楼说的不一定对,你现在能抓到 path 、header 吗?可以的话那说明 body 用了应用自定义的加密方式
lxxzml   
我也有个 app 抓包都抓不到。小米平板 3 ,已 root ,安卓 7 系统,xposed ,justtrustme,justtrustme++都安装了,charles 里面连请求都看不到。但是 app 里面请求都成功了。可能是 sslping 的问题导致的。
lxxzml   
@lxxzml charles 的证书通过 adb 也安装到系统目录下了
您需要登录后才可以回帖 登录 | 立即注册

返回顶部