七、HTTP/HTTPS抓包分析

时间:2021-6-7 作者:qvyue

一、代理配置步骤

  • 配置代理
  • 获取证书
  • 安装证书
  • 信任证书

配置代理

七、HTTP/HTTPS抓包分析
image.png

配置ssl代理,抓取HTTPS

七、HTTP/HTTPS抓包分析
image.png

配置浏览器代理,Chrome推荐SwitchOmega

七、HTTP/HTTPS抓包分析
image.png

七、HTTP/HTTPS抓包分析
image.png

进行抓包

七、HTTP/HTTPS抓包分析
image.png

获取证书,进行安装,从而抓取HTTPS

  • 在浏览器中输入:chls.pro/ssl,进行下载安装证书

    七、HTTP/HTTPS抓包分析
    image.png
  • 查看证书是否安装成功

    七、HTTP/HTTPS抓包分析
    image.png
  • Chrome等浏览器的证书管理,这里也可以安装证书

    七、HTTP/HTTPS抓包分析
    image.png
  • 信任证书

    七、HTTP/HTTPS抓包分析
    image.png

所有系统的证书安装方式

  • mac
  • windows
  • android
  • ios
  • 以安装Burpsuite证书为例:
  1. Android等移动设备安装证书
    https://portswigger.net/support/installing-burp-suites-ca-certificate-in-an-android-device
  • 配置代理,地址为本机地址

    七、HTTP/HTTPS抓包分析
    image.png
  • 浏览器访问chls.pro/ssl

  • 输入证书名称,安装证书即可

    七、HTTP/HTTPS抓包分析
    image.png
  • Android证书信任问题

    • Android 6.0默认用户级别的证书
    • Android7.0以上需要修改apk包属性
    • https://developer.android.com/training/articles/security-config.html

      七、HTTP/HTTPS抓包分析
      image.png
  1. windows上安装证书的方式
    https://portswigger.net/support/installing-burp-suites-ca-certificate-in-internet-explorer

  2. 所有安装方式
    https://portswigger.net/support/installing-burp-suites-ca-certificate-in-your-browser

二、演练

  • 使用Android 6.0模拟器抓包
  • 从Android Nougat(7.0)开始,应用程序默认不会信任用户证书,开发人员可以通过配置应用程序AndroidManifest.xml文件的networkSecuritityConfig属性来选择接受用户证书
声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:qvyue@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。