APK的http请求中使用的安全措施大致可以分成3个阶段:

  1. java层的签名+加密
  2. so层的签名+加密
  3. https

当然,并不是说在so中的安全措施就一定比在java层的安全,https亦如此(曾经看过一个apk在java层模拟了https,一样也能起到比较好的安全防护效果)。

https也不能完全保障安全性,APK的保护还是需要综合各类措施。这篇文章将介绍如何使用fiddler监控任意APK发送的https请求,可以直接看到解密之后的https请求数据。

1.配置Fiddler

在Fillder工具栏上 Tools -> Fiddler Options -> HTTPS中选中 Decrypt HTTPS traffic,Ignore server certificate errors(选中之后要选择信任fiddler根证书):

fiddler0

在Tools -> Fiddler Options -> Connections中设置fiddler的代理端口,并勾选Allow remote computer to connect:

fiddler1

然后重启Fiddler。

2.手机端配置全局代理

手机和PC要在同一个局域网内,并且能互相ping通。下载 ProxyDroid 配置全局代理,将Host设置成Fiddler所在的ip,端口设置成上面配置的9999,Proxy Type中选择HTTP,在Global Proxy上打上勾,最后启用代理(Enable Proxy):

Screenshot_2015-08-24-12-51-09_mh1440391971145

3.抓取解密后的https数据

设置完之后就可以自动抓取并解密https数据包了:

fiddler2

 

 

 

 

观看更多有关 的文章?

*

    羊角包
    2015年8月24日

    meipai.com(坏笑~~)

      burningcodes
      2015年8月24日

      业务需要。。。→_→

+
跳转到评论