版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/jackzhouyu/article/details/87880138
HTTPS包原理解析
HTTPS包之所以比HTTP安全是因为HTTP包经过秘钥加密,这个秘钥是HTTP建立握手阶段由客户端与服务端协商分配的,如果这个握手阶段需要进行证书验证,则无论如何你用一些抓包工具是抓不到HTTPS包的;但是现阶段很多移动App没有进行HTTPS证书验证,那这就好办了;
抓包工具在与服务端连接时,把自己伪装成一个客户端,而在和客户端连接时,伪装成一个服务端,他在中间知道秘钥就能够加解密发送过程中的数据,所以我们就能在抓包工具上看到数据明文了
直接开干
手机端安装Charles证书
- 前提自己配置好Charles工具,然后启用证书下载
2. 手机端用浏览器输入网址下载证书安装即可
这里你可能会遇到无法安装.pem格式证书,博主是小米6,就说说小米6的解决方式
从手机 设置-更多设置-系统安全-加密与凭据-从存储设备安装
更多应用管理中启动文件
从文件管理器进去找到下载的.pem正式,修改后缀为.crt安装即可
-
开始抓HTTPS包,可以抓到,不过还有问题,数据是乱码
别急,这时你需要配置域名和端口,让Charles去给这个域名的数据进行解析
如下图:
- 配置好后,你就可以看到数据明文了,大功告成