这是一个创建于 3921 天前的主题,其中的信息可能已经有所发展或是发生改变。
安卓/苹果 app中请求https接口post请求。抓到包没法解密。ok的。但是尼玛安卓设备挂个fiddler代理还是可以看到明文。
原理是fiddler走了ssl代理。但是证书不是目标网站证书。
怎么能让程序强制验证证书。SSL代理不让走
原理是fiddler走了ssl代理。但是证书不是目标网站证书。
怎么能让程序强制验证证书。SSL代理不让走
 |
1
allenforrest 2014-02-20 15:49:05 +08:00
fiddler 这个做法相当于 middle-man-attack?
|
 |
2
sharkli 2014-02-20 15:50:31 +08:00
iOS 也可以抓HTTPS的请求,用Charles然后装个证书即可。。。。
|
 |
3
hfeeki 2014-02-20 15:51:14 +08:00
干嘛要抓https的报文?抓http的不就行了?
|
 |
4
cevincheung OP @hfeeki 接口只有https啊@.@
|
|
5
cevincheung OP @allenforrest 差不多的意思。怎么防止呢?
|
 |
6
tang3w 2014-02-20 16:19:04 +08:00
@cevincheung 做个证书验证吧... SSL Pinning
|
 |
7
Mutoo 2014-02-20 16:53:03 +08:00
走socket比较安全
|
|
8
cevincheung OP @tang3w 就是说把公钥放到APP里?
|
 |
9
janxin 2014-02-20 17:16:22 +08:00
内置证书公钥,验证一下就可以了
|
|
10
tang3w 2014-02-20 17:35:12 +08:00
@cevincheung 是的,但是要注意证书过期的问题,如何让客户端相应更新证书。SSL 不是万能的,或者,你可以实现一套自己的非对称加解密机制。
|
|
11
cevincheung OP @tang3w 没关系。开个http的接口更新证书就好了。或者应用安装完成第一次打开的时候自动下载。然后接口输出最新的证书版本。就好了。
|
 |
12
viho 2018-08-19 19:53:22 +08:00
大神,您好,我是萌新,我想请教您问题,主要是这样的,最近想试试用 python 抓取 app 的数据,于是乎上百度搜索资料;
看到的教程大致是这样的,首先下载 fiddler 工具,然后将手机和 pc 在同一局域网下,似乎是将手机 ip 代理到 pc 的 ip 上,然后进行证书下载; 可是我手机手动设置代理后,用浏览器却浏览不了任何网站了,这是怎么回事? 顺便我附上我所看到的教程链接 https://my.oschina.net/jhao104/blog/605963,我就是照这上面的做,进行到第三步后,往第四步进行就不行了,浏览器根本打开不了任何网站,我不知道出了什么问题......能否指导指导 |
Select Language