自家写的应用,手机 root 了,证书 push 进去 charles 配置一下 很容易就抓包了
但是有的应用 比如京东,就抓不了,这是为啥
有啥方案可以抓他们的包吗
1
vanillaxxx 157 天前 via iPhone 1
系统代理请求的时候是可以跳过的,用 VPN 的方式去抓,我在 iOS 上用的是圈 X
|
2
cpsony 157 天前
1 、有的是检测手机的 VPN 状态
2 、有的是写死了证书,只允许用它 APP 自己的证书 我都不知道怎么解决。 |
3
iyiluo 157 天前
大概率用了 SSL-pinning ,防止中间人抓包,其实抓了包也没啥用,接口上的签名才是最难搞的
|
4
yuhaofe 157 天前
因为现在大部分常用 App 都用了 SSL Pinning ,证书写死在了 App 里,不认系统的证书的
想要抓这种要么反编译解密把证书提取出来,要么就 hook 系统网络请求、证书相关的 API ,解除掉 SSL Pinning |
5
w3b5h3ll 157 天前
SSL Pinning, 可尝试 reverse
|