本站木有非理性广告和有害内容,请大度地将本站加入广告屏蔽白名单吧~~~

fiddler抓取app的https请求出现证书错误的解决方案

:: 代码生涯 泥塘塘主 536℃ 0评论

 一、前言

文章 Fiddler抓取iOS上的Https请求 与 利用逍遥模拟器对app请求进行抓取 介绍了利用fiddler抓APP中的https请求,但有些APP进行了https证书双向验证,在fiddler上是抓不到请求,提示证书处理错误,比如方特旅游app.
fiddler抓取app的https请求出现证书错误的解决方案
可以利用 xposed绕过安卓SSL证书的强校验。
 

二、SSL pinning

    https协议验证服务器身份的方式通常有三种,一是根据浏览器或者操作系统(Android)自带的证书链;二是使用自签名证书;三是自签名证书加上SSL Pinning特性。第一种需要到知名证书机构购买证书,需要一定预算。第二种多见于内网使用。第三种在是安全性最高的,但是需要浏览器插件或客户端使用了SSL Pinning特性。
    Android应用程序在使用https协议时也使用类似的3种方式验证服务器身份,分别是系统证书库、自带证书库、自带证书库 + SSL Pinning特性。
所以SSL Pinning,即SSL证书绑定,是验证服务器身份的一种方式,是在https协议建立通信时增加的代码逻辑,它通过自己的方式验证服务器身份,然后决定通信是否继续下去。它唯一指定了服务器的身份,所以安全性较高。
我们可以使用xposed框架来绕过SSL Pinning。
fiddler抓取app的https请求出现证书错误的解决方案
使用JustTrustMe模块
fiddler抓取app的https请求出现证书错误的解决方案

二、使用方法

(1)下载安装xposed安装包,安装到逍遥安卓模拟器中。
(2)安装并启用JustTrustMe模块
(3)重启模拟器,就可以抓到以前抓取不到的https请求了。
fiddler抓取app的https请求出现证书错误的解决方案

三、apk下载

整个测试的apk可以从这里下载。

四、参考

(1)对抗Android SSL Pinning。
(2)利用xposed绕过安卓SSL证书的强校验。

转载请注明:泥塘·物语 » fiddler抓取app的https请求出现证书错误的解决方案

喜欢 (2)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址