嗅探 Android 应用程序 HTTPS 流量

【问题标题】:Sniffing Android Application HTTPS Traffic嗅探 Android 应用程序 HTTPS 流量
【发布时间】:2015-04-26 15:10:48
【问题描述】:

我在 Android 手机(模拟器)上有一个应用程序,它发送 https 请求。我如何才能看到该请求?

【问题讨论】:

  • 如果可以看到请求结构,那么我们可以通过窃取用户名/密码轻松破解包括 Facebook、Gmail 在内的许多应用程序。你怎么看?

标签: android ssl apk


【解决方案1】:

这可以通过FiddlerCharles 等软件轻松实现。他们有一个内置的 SSL 服务器,它将自己定位在应用程序和服务器之间。这是一种“中间人”攻击,只是您只是在攻击自己。

在您的 PC 上安装软件后,您必须将此 PC 的 IP 地址设置为 Android 中的代理服务器。其次,您必须在您的 Android 设备上安装该软件正在使用的根证书。

由于您在这里没有阻止任何加密并且没有对任何应用程序进行逆向工程,我认为这不会被归类为非法。由于您需要对设备进行物理访问,因此您也不能监视除您自己以外的任何人。

【讨论】:

  • 这不再起作用了。应用程序(我们想要拦截流量)需要配置为信任用户添加的证书(在这种情况下是自己的 CA 证书)。用户添加的证书在应用程序级别不再受信任。 developer.android.com/training/articles/security-config.html
  • 如果你有root手机,可以复制到/system/etc/security/cacerts来安装系统证书
【解决方案2】:

如果您正在与自己的服务器通信,并且可以访问其私钥,则可以使用 Wireshark 捕获数据包并让它解密 HTTPS 流量。如果您试图对其他人的应用程序进行逆向工程,这可能合法也可能不合法,而且通常无法做到。

【讨论】:

    猜你喜欢
    • 2018-01-04
    • 1970-01-01
    • 1970-01-01
    • 2015-12-14
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode