zoukankan      html  css  js  c++  java
  • Burpsuite如何抓取使用了SSL或TLS传输的Android App流量

    一、问题分析

    一般来说安卓的APP端测试分为两个部分,一个是对APK包层面的检测,如apk本身是否加壳、源代码本身是否有恶意内嵌广告等的测试,另一个就是通过在本地架设代理服务器来抓取app的包分析是否存在漏洞。而通常使用最广泛的工具burpsuite对于采用http协议开发的app来说是可以抓包的,但是如果app采用了SSL或TLS加密传输的话,由于证书不被信任的关系将会导致无法抓包。解决方法就是在移动终端中装入burpsuite证书。

    二、证书配置

    1. PC端配置浏览器与burpsuite的代理关系(此步略),配置好后开启burp监控状态,并在浏览器上访问任意https开始的站点,通过以下截图示意将burpsuite根证书导出到本地

    2. 将该证书导入到手机存储中

    3. 打开安卓终端,依次点击设置-》安全-》从SD卡安装证书,需要注意的是导入证书的过程中需要填入设备的密码。

    再次使用burpsuite尝试抓取包,成功。

  • 相关阅读:
    61序列化二叉树
    60把二叉树打印成多行
    59按之字形顺序打印二叉树
    58对称的二叉树
    57二叉树的下一个结点
    56删除链表中重复的结点
    55链表中环的入口结点
    Python100天打卡-Day10
    Python100天打卡
    点至直线的距离和垂足点计算
  • 原文地址:https://www.cnblogs.com/tdcqma/p/6000107.html
Copyright © 2011-2022 走看看