V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
cc959798
V2EX  ›  问与答

app 抓包

  •  
  •   cc959798 · 2018-08-28 18:58:43 +08:00 · 2852 次点击
    这是一个创建于 2279 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如果使用 HTTPS 的话,内容是加密的,如果抓包的话不就没用吗?不能解析里面的格式 有什么解决办法吗

    23 条回复    2018-08-29 11:02:05 +08:00
    sbw
        1
    sbw  
       2018-08-28 19:24:51 +08:00
    能搞到 private key 就可以解析了
    cc959798
        2
    cc959798  
    OP
       2018-08-28 19:30:47 +08:00
    @sbw 关键是私钥肯定拿不到呀
    greed1is9good
        3
    greed1is9good  
       2018-08-28 19:32:43 +08:00
    差一个证书而已。。。
    wisej
        4
    wisej  
       2018-08-28 19:36:55 +08:00 via Android   ❤️ 1
    中间人攻击,譬如 Fiddler。所以你得让它安证书呀
    qwertyyb
        5
    qwertyyb  
       2018-08-28 19:38:23 +08:00
    一般来说,解密 https 数据,在抓包前需要安装一个证书。但是最近一些 app 也会对证书做一些验证,如果验证通不过,这样也有可能抓不到数据
    Nobitasean
        6
    Nobitasean  
       2018-08-28 19:41:36 +08:00
    @cc959798 机构证书了解一下
    cc959798
        7
    cc959798  
    OP
       2018-08-28 19:54:50 +08:00
    @Nobitasean 证书的话 https 每次请求的产生的私钥是不一样的吧,就算拿到私钥,可能不是抓到的包的私钥呀
    cc959798
        8
    cc959798  
    OP
       2018-08-28 19:56:49 +08:00
    @greed1is9good app 的证书好拿吗
    gamexg
        9
    gamexg  
       2018-08-28 20:03:17 +08:00 via Android
    @cc959798 本地 app 内部即使保存也只保存公钥指纹,私钥在服务器,所以获得没大意义。
    可以试试安装自己的根证书,如果 app 没硬编码证书指纹就没问题。
    cc959798
        10
    cc959798  
    OP
       2018-08-28 20:53:49 +08:00
    @gamexg 服务端的私钥确实拿不到
    大神能详细说说怎么搞吗?
    gamexg
        11
    gamexg  
       2018-08-28 21:01:23 +08:00
    @cc959798 #10 不是大神。

    关键字 android 安装证书
    或者 关键字 抓包工具(例如 Fiddler ) 证书
    LeungJZ
        12
    LeungJZ  
       2018-08-28 21:04:36 +08:00
    charls 那些应该可以抓。加密后的就没办法了。https 就可以。
    cc959798
        13
    cc959798  
    OP
       2018-08-28 21:53:17 +08:00
    @LeungJZ https 是加密的,没办法吗?
    rockyou12
        14
    rockyou12  
       2018-08-28 22:34:52 +08:00
    一般抓包软件都会给你个 ca,手机上装了就行。7.0 还是 8.0 后这块机制改了还必须在 app 里加个安全配置的 xml 文件,才能信任系统的自定义 ca。
    beastk
        15
    beastk  
       2018-08-28 22:42:03 +08:00 via iPhone
    ios 用 thor 吧,好使
    nicevar
        16
    nicevar  
       2018-08-28 22:44:54 +08:00
    电脑上装个 anyproxy,手机 wifi 设置一下代理安装了 ca 证书就可以抓 https 了
    chinvo
        17
    chinvo  
       2018-08-28 22:46:01 +08:00
    一般是没做 cert pinning 的,直接装抓包工具的跟证书然后启用 https 抓包就好
    jisibencom
        18
    jisibencom  
       2018-08-28 23:00:22 +08:00 via Android
    装了证书也是抓不到的,乱码。如 即刻
    em91
        19
    em91  
       2018-08-29 09:14:14 +08:00
    iOS 抓包可以用 Stream 试试,免费~
    Lostars
        20
    Lostars  
       2018-08-29 09:54:35 +08:00
    Nobitasean
        21
    Nobitasean  
       2018-08-29 10:48:18 +08:00
    @cc959798 机构证书不是私钥。。mitmproxy 了解下。。
    cc959798
        22
    cc959798  
    OP
       2018-08-29 10:58:04 +08:00
    @jisibencom 对呀,https 的不行呀
    cc959798
        23
    cc959798  
    OP
       2018-08-29 11:02:05 +08:00
    @qwertyyb 你好,我不太理解为什么安装证书后就可以看到明文的 https 报文了,不是私钥是不一样的吗
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1914 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 16:19 · PVG 00:19 · LAX 08:19 · JFK 11:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.