关于接口抓包

我现在有一个第三方的 APP ，我现在使用 Charles 抓包工具，手机已经安装 Charles 的证书，此时我配置好之后，app 上的每一个请求 Charles 上都会有记录但是 contents 里面全是乱码。这种情况我查了一下资料说的是因为 APP 做了双向验证所以抓不聊 https 的包，想咨询一个广大 V 友，对于这个有什么解决方案吗？

fenglirookie

2023-11-02 10:13:17 +08:00

@fenglirookie
@Tamamopoi 哦查看到了

liaoyuan6666

2023-11-02 10:28:24 +08:00

是乱码，说明 APP 进行了加密

fenglirookie

2023-11-02 10:57:03 +08:00

@liaoyuan6666 那就是要反编译解密 APP 了哇？

lxxzml

2023-11-02 11:04:54 +08:00

@cian 老哥，看到留个联系方式，我加你

lxxzml

2023-11-02 11:09:42 +08:00

@wangyongbo 不是，有的请求能抓到，有的请求抓不到，只能看到给 umeng 发的打点日志。

cian

2023-11-02 11:38:16 +08:00

@lxxzml vx: d2ViM3d1bWluZw==

Puteulanus

2023-11-02 13:02:17 +08:00

@fenglirookie 应该是要

fenglirookie

2023-11-02 13:33:34 +08:00

@Puteulanus 好的谢谢啦

liuidetmks

2023-11-02 13:53:05 +08:00

国内环境这么恶劣，加密，sslpin 是基操了

xchaoinfo

2023-11-02 17:23:03 +08:00

可以给个 app 下载链接，我手上有配置好的抓包设备。

fenglirookie

2023-11-06 14:55:13 +08:00

@xchaoinfo https://static.zhiyuedev.cn/www/new-offical-site/pic-btn-xuanfu.png 大佬试试

xchaoinfo

2023-11-08 11:02:04 +08:00

@fenglirookie 是第三方的服务开启了 SSL 的验证，但是该 app 本身登录等动作没有验证

```
POST https://xxxxx/app/newUser/login HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 424
Host: xxxxx
Connection: Keep-Alive
Accept-Encoding: gzip
User-Agent: okhttp/4.7.2
URLEncoded form

mtoken: 60be9c45fxxxxx
deviceStr: 46bd7fc2c08c8fab201b1f67fxxxxxx
downloadSrc: yingyongbao
android_version: 30
manufacturer: 21091116AC
cpu_abi: arm64-v8a
nickname: 爱美的臭 xxx
oaid: d1f5b8b7f32c9xxx
aaid: 1b8ad251-e54d-465b-92dc-2a58a9xxxx
vaid: d2d3d1c763exxx
device: 3
version: 11015
apkVersion: 11.0.1.5
isEnglish: 0
requestTimestamp: 1699411604769
key: b08bcf1a3bfe676e338946e864xxxxx
```

fenglirookie

2023-11-15 14:51:06 +08:00

@xchaoinfo 你这是用什么抓的哟

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/987580

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.