使用burpsuite对手机端APP抓包

burpsuite在手机APP上抓包

  • burpsuite在手机APP上抓包
    • 抓APP的包准备条件
    • 操作流程
      • 1. 在电脑端或手机下载burpsuite证书
      • 2. 将下载好的证书传到手机上,并进行安装。
      • 3. 手机端设置代理
      • 4.在burpsute上增加一个代理
    • 网页安全证书
      • 为什么用burpsuite抓包,需要安装证书
      • SSL中的公钥算法和会话密钥

burpsuite在手机APP上抓包

抓APP的包准备条件

  1. 手机和电脑要在同一网段(将手机和电脑连接同一个WIFI)
  2. 手机的代理指向电脑的IP,端口为8080
  3. 手机上要有网页证书

操作流程

1. 在电脑端或手机下载burpsuite证书

在火狐浏览器输入http://burp,然后下载
在burpsuite软件上直接导出

使用burpsuite对手机端APP抓包_第1张图片
使用burpsuite对手机端APP抓包_第2张图片

2. 将下载好的证书传到手机上,并进行安装。

使用burpsuite对手机端APP抓包_第3张图片

3. 手机端设置代理

要让手机和电脑在同一网段(连接同一个WIFI即可),然后在手机上设置代理的IP地址为电脑端的IP地址。
使用burpsuite对手机端APP抓包_第4张图片

4.在burpsute上增加一个代理

IP为电脑端的IP

使用burpsuite对手机端APP抓包_第5张图片

成功抓到手机上的包

使用burpsuite对手机端APP抓包_第6张图片

网页安全证书

SSL安全套接字层协议(secure sockets layer),提供了一个传输层安全的应用协议,解决互联网服务网站的身份识别,机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL网站安全证书(certificate ssl)的申请与配置。 决定购买何种SSL网站安全证书,不仅是一个技术问题,更涉及到公司的战略、服务意识、管理等一系列问题

在互联网发展初期,应用层协议http,smtp,ftp采用的都是明文数据,未采用加密措施
它是在传输通信协议(TCP/IP) 上实现的一种安全协议,采用公开密钥技术,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证

为什么用burpsuite抓包,需要安装证书

因为走了代理,引起了客户端(浏览器)的怀疑,因此需要到证书管理器去查看,浏览的网站在数字证书有无记录
如果不安装证书,抓到的包是加密的

1. 不安装证书,去访问一个页面,用burpsuite抓包,是下面这种情况

使用burpsuite对手机端APP抓包_第7张图片

2. 在浏览器导入证书机构
使用burpsuite对手机端APP抓包_第8张图片

3. 首先burpsuite抓包–www.baidu.com
使用burpsuite对手机端APP抓包_第9张图片

使用burpsuite对手机端APP抓包_第10张图片
由于此网站使用了 HTTP 严格传输安全(HSTS)要求 Firefox 只进行安全连接。正因如此,您不能为此证书添加一个例外。、
因此抓不到包

4. 对www.iqiyi.com抓包可以获取数据并放行

使用burpsuite对手机端APP抓包_第11张图片

SSL中的公钥算法和会话密钥

SSL协议涉及到的加密的环节,有两个加密位数,一是证书公钥位数,分为512位、 1024位、2048位,主流的是1024位。一是会话秘钥(对称密钥)位数,分为40位,128位,256位,主流的是128位。

公钥算法主要是用来加密会话秘钥,会话秘钥是SSL会话建立之后对会话内容进行加密,

会话秘钥的长度和浏览器支持的密钥长度相关,微软的IE系列浏览器,有40位和128位两种,例如firefox,可以支持256位会话秘钥。

主流的密钥长度在技术水准下,破解的难度相当高,暴力破解需要耗费相当长的时间。而由于SSL会话秘钥是一次性的,且有效期较短,基本不存在被暴力破解的可能性。 加密过程需要消耗服务器资源,在密钥长度增加的同时,会带来更大的性能负载,在主流密钥长度可以提供足够安全的保障前提之下,更长的密钥长度只能带来无效的负载增加。

##SSL加解密过程

  1. 服务器端给客户端发送信息的时候,在签名的同时,附上CD即可
  2. 客户端得到CD(数字证书)的公钥后,对CA进行解密,得到服务器端的真实公钥
  3. 客户端(浏览器)的"证书管理器",有"受信任的根证书颁发机构"列表。客户端对CD解密之后得到公钥,会根据这张列表,查看公钥是否在列表之内
  4. 如果数字证书是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。

如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。

如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。

你可能感兴趣的:(工具专区,http,ssl,https,app安全,网络)