为了账号安全,请及时绑定邮箱和手机立即绑定

Android应用HTTPS抓包详解:原理、限制及解决方案

标签:
iOS

Android app https 抓包,一定能抓到吗?

很多时候我们开发项目的时候,都需要抓包,很多情况下即使是 ​ ​Https​ ​ 也能正常抓包正常。那么问题来了:

  • 抓包的原理是?
  • 任何​ ​Https​ ​​ 的​ ​app​ ​ 都能抓的到吗?
  • 如果不能,哪些情况下可以抓取,哪些情况下抓取不到?

1.抓包的原理:

代理。

  • ​客户端请求​ ​​ ->​ ​经过代理​ ​​ ->​ ​到达服务端​
  • ​服务端返回​ ​​ ->​ ​经过代理​ ​​ ->​ ​到达客户端​

2.任何 Https 的 app 都能抓的到吗?

​7.0​ ​​ 以下是可以的,只要手机里安装对应 ​ ​CA​ ​​ 证书,比如用 ​ ​charles​ ​​ 抓包,手机要安装 ​ ​charles​ ​ 提供的证书就行。

Android 7.0 之后,Google 推出更加严格的安全机制,应用默认不信任用户证书(手机里自己安装证书)

自己的 ​ ​app​ ​​ 可以通过配置解决,但是抓其它 ​ ​app​ ​​ 的 ​ ​https​ ​ 请求就行不通。

3.同2

补充,虽然7.0之后常规手段不能抓 ​ ​https​ ​​ 的包,但是可以通过黑科技跳过证书验证流程,例如,通过 ​ ​xposed​ ​​,安装 JustTrustMe​ 模块,​ ​https​ ​ 证书检测直接跳过。

此外,市面上也有一些抓包工具如抓包大师(SniffMaster),它支持全平台HTTPS暴力抓包,无需在设备上设置代理或进行越狱/root操作,即可直接解密HTTPS流量,尤其适用于Android 7.0及更高版本。

点击查看更多内容
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
微信客服

购课补贴
联系客服咨询优惠详情

帮助反馈 APP下载

慕课网APP
您的移动学习伙伴

公众号

扫描二维码
关注慕课网微信公众号

举报

0/150
提交
取消