Android导入Burp Suite证书抓包HTTPS
2019-09-30 18:37
2711 查看
需求
Android APP安全测试时,主要工作分为:
- APK安全
- 业务安全
APK安全这里不讨论,我说说业务安全,因为大部分的业务校验逻辑还是放在Servier端,这里就会涉及到网络通信了。因此网络抓包是测试的根本,一般APP都会采用HTTP协议、Websocket、Socket协议。其中HTTP协议的最多,Websocket是后起之秀,Socket最少。针对HTTP和Websocket,Burp Suite是进行抓包的不二之选 。
设置代理
先设置好代理端,在设置Android端;
Burp Suite代理端设置
修改代理监听,选择这个具体地址(Specific address)。注意,Android端也得修改成这个IP。
Android端设置
找到网络,然后修改网络,
保存修改就OK了。
发现证书问题
当访问类似https://m.baidu.com/ 这种https网站时就会报错。现在互联网企业的业务基本也使用https来防止中间人攻击了。发现问题,解决问题,那么下面介绍怎么安装证书,其实和Firefox浏览器安装证书是一样的原理,但是Android在细节步骤上有些不一样,下面是步骤。
先导出cacert.cer证书
默认是导出cacert.der
自己写上文件名
提示导出成功。
去导出路径看看,文件是否存在。
传送到Android端
传送到Android有好几种方法,我以前使用QQ传输,后来发现有adb工具之后,发现太方便了,还能指定路径,一般放到SD卡(外部可访问路径)即可。
adb push D:\cacert.cer /sdcard/ D:\cacert.cer: 1 file pushed. 0.2 MB/s (973 bytes in 0.004s) // 提示只用了0.004秒 就传输好了,比QQ牛逼一百倍;
使用Android自带的工具查看文件:
Android安装CA证书
在设置里面搜索安全,
选择你的路径
测试HTTPS
安装好CA证书之后,访问一下HTTPS看看
抓包成功。
相关文章推荐
- Burp Suite证书导入证书(https抓包前提)
- 用Fiddler在Android上抓包(Http+https)
- jdk导入https证书
- 在Android应用中使用自定义证书的HTTPS连接
- 把Https网站中的安全证书导入到java中的cacerts证书库
- 如何把Https网站中的安全证书导入到java中的cacerts证书库?
- 把https网站中的安全证书导入到java中的cacerts证书库
- Android HTTPS 自制证书实现双向认证(OkHttp + Retrofit + Rxjava)
- 新浪微博请求数据出错(Android Volley Https证书不信任)的解决方案
- android https HttpsURLConnection 忽略证书
- 安卓APP测试之使用Burp Suite实现HTTPS抓包方法
- Android实现https网络通信之添加指定信任证书/信任所有证书
- 如何把Https网站中的安全证书导入到java中的cacerts证书库?
- android https遇到自签名证书/信任证书
- Chrome浏览器导入Burp Suite证书
- Android 使Volley完美支持自定义证书的Https
- HTTPS-Linux服务器Nginx配置、Android客户端证书生成
- Charles抓包工具破解和https抓包问题解决:中文乱码,Android抓包https乱码
- android https 绕证书
- android Retrofit+OkHttp使用自制的证书实现https安全传输