这是一个创建于 4257 天前的主题,其中的信息可能已经有所发展或是发生改变。
安卓/苹果 app中请求https接口post请求。抓到包没法解密。ok的。但是尼玛安卓设备挂个fiddler代理还是可以看到明文。
原理是fiddler走了ssl代理。但是证书不是目标网站证书。
怎么能让程序强制验证证书。SSL代理不让走
原理是fiddler走了ssl代理。但是证书不是目标网站证书。
怎么能让程序强制验证证书。SSL代理不让走
 | 1 allenforrest 2014-02-20 15:49:05 +08:00 fiddler 这个做法相当于 middle-man-attack? |
 | 2 sharkli 2014-02-20 15:50:31 +08:00 iOS 也可以抓HTTPS的请求,用Charles然后装个证书即可。。。。 |
 | 3 hfeeki 2014-02-20 15:51:14 +08:00 干嘛要抓https的报文?抓http的不就行了? |
 | 4 cevincheung OP @hfeeki 接口只有https啊@.@ |
| 5 cevincheung OP @allenforrest 差不多的意思。怎么防止呢? |
 | 6 tang3w 2014-02-20 16:19:04 +08:00 @cevincheung 做个证书验证吧... SSL Pinning |
 | 走socket比较安全 |
| 8 cevincheung OP @tang3w 就是说把公钥放到APP里? |
 | 9 janxin 2014-02-20 17:16:22 +08:00 内置证书公钥,验证一下就可以了 |
| 10 tang3w 2014-02-20 17:35:12 +08:00 @cevincheung 是的,但是要注意证书过期的问题,如何让客户端相应更新证书。SSL 不是万能的,或者,你可以实现一套自己的非对称加解密机制。 |
| 11 cevincheung OP @tang3w 没关系。开个http的接口更新证书就好了。或者应用安装完成第一次打开的时候自动下载。然后接口输出最新的证书版本。就好了。 |
 | 12 viho 2018-08-19 19:53:22 +08:00 大神,您好,我是萌新,我想请教您问题,主要是这样的,最近想试试用 python 抓取 app 的数据,于是乎上百度搜索资料; 看到的教程大致是这样的,首先下载 fiddler 工具,然后将手机和 pc 在同一局域网下,似乎是将手机 ip 代理到 pc 的 ip 上,然后进行证书下载; 可是我手机手动设置代理后,用浏览器却浏览不了任何网站了,这是怎么回事? 顺便我附上我所看到的教程链接 https://my.oschina.net/jhao104/blog/605963,我就是照这上面的做,进行到第三步后,往第四步进行就不行了,浏览器根本打开不了任何网站,我不知道出了什么问题......能否指导指导 |
Select Language