那些遇到过的问题

嗅探来自Fiddler的Android应用程序的HTTPS流量失败,只有Fiddler中的"Tunnel To"条目

Can*_*ğlu 11 https proxy android sniffing fiddler

我试图从我的root设备(4.4.4)捕获HTTPS流量,以分析应用程序的未记录协议.我已将我的Fiddler设置为代理并启用HTTPS嗅探.我在我的设备上安装了Fiddler生成的根证书.我在Android设备上为我的Wifi设置了代理.

  • 当我运行浏览器并导航到任何HTTP或HTTPS站点时,Fiddler可以成功捕获流量.

  • 当我运行一些应用程序(例如我自己的应用程序使用Parse作为其后端)时,我可以看到服务器的所有HTTPS流量,已解密.到现在为止还挺好.

  • 当我尝试运行该特定应用程序时,我无法让Fiddler捕获其流量.以下是我对Fiddler的全部看法:

在此输入图像描述

URL是一些IP地址:SSL(:443).

我也尝试过使用ProxyDroid.有趣的是,我能够捕获流量一次,看到解密的HTTPS连接到该应用程序的服务器,但在此之后,它再也没有捕获.我知道该应用程序使用HTTPS,而不是未知/其他协议.

如何成功捕获HTTPS流量,为什么Fiddler会为该应用程序工作,然后突然停止工作?

Can*_*ğlu 5

它似乎是特定于该应用程序的。我成功地嗅探了所有其他应用程序。该特定应用程序可能使用 SSL 固定:它检查自身内部的证书,并且不允许伪造证书,即使设备信任该证书。

Tal*_*ihr 5

“默认情况下,面向API级别24和更高级别的应用将不再信任用户或管理员添加的CA以进行安全连接”

如果您定位的API> = 24或在> = 24的设备上运行,请使用以下内容创建xml资源:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <debug-overrides>
        <trust-anchors>
            <!-- Trust user added CAs while debuggable only -->
            <certificates src="user"/>
        </trust-anchors>
    </debug-overrides>
</network-security-config>
Run Code Online (Sandbox Code Playgroud)

将其命名为“ network_secutrity_config.xml”或类似名称,并使用android:networkSecurityConfig标记添加ID作为对清单的引用。

您可以在这里阅读更多(它对我有帮助):

https://android-developers.googleblog.com/2016/07/changes-to-trusted-certificate.html

归档时间:

查看次数:

6333 次

最近记录:

6 年,10 月 前
相关归档
来自nativeGetEnabledTags的意外值:0 299
Android marshmallow请求权限? 151
Android Instrumentation测试和Android Studio中的单元测试之间的区别? 69
如何在Android中用画布绘制圆圈? 64
为Fragment/ViewPager设置设置默认选项卡 37
Retrieve User-Agent programmatically 36
从后台堆栈恢复片段时的savedInstanceState 36
如何在C#应用程序中使用代理 5
使用 HTTPS 和代理时,我可以避免使用 cURL 发出 CONNECT 请求吗? 5
如何在 Express 中启用信任代理。Nestjs应用程序 2
难疑归档
JavaScript闭包如何工作? 7644
关闭/隐藏Android软键盘 3641
如何在JavaScript中清空数组? 2198
将文本垂直对齐到UILabel中的顶部 2141
Git获取远程分支 2088
在JavaScript中将字符串转换为整数? 1603
图像处理:"可口可乐罐"识别的算法改进 1585
将图像加载到Bitmap对象时出现奇怪的内存不足问题 1252
performSelector可能导致泄漏,因为其选择器未知 1251
查找包含具有指定名称的列的所有表 - MS SQL Server 1090