美团 APP 抓不到包

应该要 hook 掉证书校验的 api

美团有证书验证吧

我感觉 iOS 抓包省心很多

@ai277014717 这是要脱壳吗...

@yalin 按理说 Xposed+Just True Me 这个应该可以绕过证书验证的啊

@odirus 有证书验证的话 iOS 也抓不了

@odirus 我去试试

安卓 root 以后，把证书 push 进根证书区

@xi_lin 越狱，装 sslkill 插件。ios 能用的黑科技少点，要不上不了架。还是 ios 方便

我自己试了一下，应该是有部分抓不到，对客户端知之甚少，听各位大佬分析

@dearmymy 我赞同 iOS 上黑科技能用的少一些这个说法。另外，不越狱也能用 objection 注入 hook，需要重签名。
但是一般的话 Android 上 Xposed 方案我觉得可能更方便一些。

Android 6 以上，https 抓包需要在 App 端内置证书，找个 5 系统的手机试试

app 内置证书抓不到

换美团的 h5 版本呢？ http://i.meituan.com/

@kerro1990 @xi_lin

各位大佬，请问 “app 内置证书抓不到” 这个说法是用到了哪方面的知识点呢，想学习一下。

以前我发现有些软件不到包，是因为程序内部的 http client 可能没有实现代理功能，也就是说即使设置了代理，程序会这条规则。后面我用的是 Stream 这类软件（信任了自签发的证书），发现大部分的包都可以抓了。

如果按照我的理解，app 验证证书就无法抓包的话，一旦我使用了 stream 这类软件并使用自签名证书，stream 无法抓到包，那 APP 也应该无法继续收到请求响应了，但我今天开启了 stream 之后 APP 依然是可以显示搜索结果的，这个地方就很疑惑了...

iOS 可以抓，要到系统设置，通用，关于，证书信任设置再信任一次证书

大众点评客户端不是 http 协议
美团可能也不是
用 wireshark 看看呗

@hshpy 我就是用的这种方式，我看了一下电影板块里面的猫眼数据是可以看到完整 API 响应的。主页搜索是看不到的

@n329291362 了解了

我再咨询一个问题

如果我用了 stream 这类软件，并且在系统里面信任了证书（ iOS，Android 我知道有个版本问题），代码里面是否可以看出我用的自签发证书而拒绝响应呢？

我们再测试过程中用抓包软件比较多，所以想了解得多一些，感谢各位了。

@odirus 忘了说 他们还是有些页面走的 http 协议的 不过不多
拒绝响应的话 你的客户端应该打不开页面 并且抓包软件里是 unknow
没记错的话