关于 Android/IOS 抓包的问题

2014-02-20 15:44:31 +08:00
 cevincheung
安卓/苹果 app中请求https接口post请求。抓到包没法解密。ok的。但是尼玛安卓设备挂个fiddler代理还是可以看到明文。
原理是fiddler走了ssl代理。但是证书不是目标网站证书。
怎么能让程序强制验证证书。SSL代理不让走
4159 次点击
所在节点    程序员
12 条回复
allenforrest
2014-02-20 15:49:05 +08:00
fiddler 这个做法相当于 middle-man-attack?
sharkli
2014-02-20 15:50:31 +08:00
iOS 也可以抓HTTPS的请求,用Charles然后装个证书即可。。。。
hfeeki
2014-02-20 15:51:14 +08:00
干嘛要抓https的报文?抓http的不就行了?
cevincheung
2014-02-20 16:02:30 +08:00
@hfeeki 接口只有https啊@.@
cevincheung
2014-02-20 16:02:46 +08:00
@allenforrest 差不多的意思。怎么防止呢?
tang3w
2014-02-20 16:19:04 +08:00
@cevincheung 做个证书验证吧... SSL Pinning
Mutoo
2014-02-20 16:53:03 +08:00
走socket比较安全
cevincheung
2014-02-20 16:53:42 +08:00
@tang3w 就是说把公钥放到APP里?
janxin
2014-02-20 17:16:22 +08:00
内置证书公钥,验证一下就可以了
tang3w
2014-02-20 17:35:12 +08:00
@cevincheung 是的,但是要注意证书过期的问题,如何让客户端相应更新证书。SSL 不是万能的,或者,你可以实现一套自己的非对称加解密机制。
cevincheung
2014-02-20 18:10:18 +08:00
@tang3w 没关系。开个http的接口更新证书就好了。或者应用安装完成第一次打开的时候自动下载。然后接口输出最新的证书版本。就好了。
viho
2018-08-19 19:53:22 +08:00
大神,您好,我是萌新,我想请教您问题,主要是这样的,最近想试试用 python 抓取 app 的数据,于是乎上百度搜索资料;
看到的教程大致是这样的,首先下载 fiddler 工具,然后将手机和 pc 在同一局域网下,似乎是将手机 ip 代理到 pc 的 ip 上,然后进行证书下载;
可是我手机手动设置代理后,用浏览器却浏览不了任何网站了,这是怎么回事?
顺便我附上我所看到的教程链接 https://my.oschina.net/jhao104/blog/605963,我就是照这上面的做,进行到第三步后,往第四步进行就不行了,浏览器根本打开不了任何网站,我不知道出了什么问题......能否指导指导

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/101086

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX