1.https通信過程和中間人攻擊
(1).https用戶端和伺服器端通信的基本流程
在用戶端給伺服器端發消息的時候,中間人(Burp Suite/Charles)截取用戶端發送給伺服器的請求,然後僞裝成用戶端與伺服器進行通信;将伺服器傳回給用戶端的内容發送給用戶端,僞裝成伺服器與用戶端進行通信
(2).中間人抓包
當配置了Burp Suite/Charles之後,理論上所有的http/https請求資料都被攔截到
2.抓https資料包
(1).Charles導入根證書到Android裝置上
電腦連接配接上Wifi
手機上導入Charles根證書
(2).電腦端Charles設定https抓包配置
菜單欄Proxy--->ProxySettings...
取消上圖選中的設定,如圖所示:
(3).手機端配置代理
Android裝置上通路http://chls.pro/ssl下載下傳Charles證書
證書下載下傳成功後,在下載下傳目錄中找到下載下傳好的Charles證書,然後點選安裝,如圖所示:
解鎖後安裝Charles證書
Charles證書安裝成功
Charles抓App的https資料包(測試成功)
APP安全檢測
Android抓包總結
Android系統證書或定制系統解放https抓包
BurpSuite各版本及激活方法(Android系統證書/解放Https抓包)