場景介紹:APP抓包
引出的知識點:ssl-pinning。
ssl-pinning:
apk在開發時就将服務端證書一塊打包到用戶端裡。這樣在HTTPS建立時與服務端傳回的證書比對一緻性,進而識别出中間人攻擊後直接在用戶端側中止連接配接。
解決原理:
用戶端不是會做兩個證書間的一次性校驗嗎,那麼就通過hook的方式将此次校驗的結果傳回true或者幹脆不讓其做校驗。當然這種做法隻能在越獄環境下實作,但對于抓包來說,這已經足夠了。
方案:
Xposed+JustTrustMe+Android模拟器
步驟:
環境基于夜神安卓模拟器
1. 安裝Xposed架構
安裝apk後,架構>安裝/更新,安裝過程需要root權限,完成後重新開機
2. 安裝JustTrustMe.apk
3. 打開Xposed子產品選項勾選JustTrustMe
4.配置wifi代理即可
至此,可以開心的抓包了。
困難二:
爬蟲簽名sign,基本規則都是組裝字元串,然後md5加密
分為網頁版和app版,
網頁版解決方案尋找js代碼找到加密規則,
app端則反編譯得到源碼,進行源碼閱讀,但由于難以調試,是以難度非常大。
轉載于:https://www.cnblogs.com/zenan/p/10412221.html
![Android中Webview使用經驗總結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)