使用burpsuite对手机端APP抓包

burpsuite在手机APP上抓包

抓APP的包准备条件

1. 手机和电脑要在同一网段(将手机和电脑连接同一个WIFI)
2. 手机的代理指向电脑的IP，端口为8080
3. 手机上要有网页证书

操作流程

1. 在电脑端或手机下载burpsuite证书

在火狐浏览器输入http://burp，然后下载
在burpsuite软件上直接导出

2. 将下载好的证书传到手机上，并进行安装。

3. 手机端设置代理

要让手机和电脑在同一网段(连接同一个WIFI即可)，然后在手机上设置代理的IP地址为电脑端的IP地址。

4.在burpsute上增加一个代理

IP为电脑端的IP

成功抓到手机上的包

网页安全证书

SSL安全套接字层协议（secure sockets layer），提供了一个传输层安全的应用协议，解决互联网服务网站的身份识别，机密、隐私信息的加密传输问题。SSL部署的过程中至关重要的环节是SSL网站安全证书（certificate ssl）的申请与配置。 决定购买何种SSL网站安全证书，不仅是一个技术问题，更涉及到公司的战略、服务意识、管理等一系列问题

在互联网发展初期，应用层协议http，smtp，ftp采用的都是明文数据，未采用加密措施
它是在传输通信协议(TCP/IP) 上实现的一种安全协议，采用公开密钥技术，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证

为什么用burpsuite抓包，需要安装证书

因为走了代理，引起了客户端（浏览器）的怀疑，因此需要到证书管理器去查看，浏览的网站在数字证书有无记录
如果不安装证书，抓到的包是加密的

1. 不安装证书，去访问一个页面，用burpsuite抓包，是下面这种情况

2. 在浏览器导入证书机构

3. 首先burpsuite抓包–www.baidu.com

由于此网站使用了 HTTP 严格传输安全（HSTS）要求 Firefox 只进行安全连接。正因如此，您不能为此证书添加一个例外。、
因此抓不到包

4. 对www.iqiyi.com抓包可以获取数据并放行

SSL中的公钥算法和会话密钥

SSL协议涉及到的加密的环节，有两个加密位数，一是证书公钥位数，分为512位、 1024位、2048位，主流的是1024位。一是会话秘钥（对称密钥）位数，分为40位，128位，256位，主流的是128位。

公钥算法主要是用来加密会话秘钥，会话秘钥是SSL会话建立之后对会话内容进行加密，

会话秘钥的长度和浏览器支持的密钥长度相关，微软的IE系列浏览器，有40位和128位两种，例如firefox，可以支持256位会话秘钥。

主流的密钥长度在技术水准下，破解的难度相当高，暴力破解需要耗费相当长的时间。而由于SSL会话秘钥是一次性的，且有效期较短，基本不存在被暴力破解的可能性。 加密过程需要消耗服务器资源，在密钥长度增加的同时，会带来更大的性能负载，在主流密钥长度可以提供足够安全的保障前提之下，更长的密钥长度只能带来无效的负载增加。

##SSL加解密过程

2. 服务器端给客户端发送信息的时候，在签名的同时，附上CD即可
3. 客户端得到CD(数字证书)的公钥后，对CA进行解密，得到服务器端的真实公钥
4. 客户端（浏览器）的"证书管理器"，有"受信任的根证书颁发机构"列表。客户端对CD解密之后得到公钥，会根据这张列表，查看公钥是否在列表之内
5. 如果数字证书是可靠的，客户端就可以使用证书中的服务器公钥，对信息进行加密，然后与服务器交换加密信息。

如果数字证书记载的网址，与你正在浏览的网址不一致，就说明这张证书可能被冒用，浏览器会发出警告。

如果这张数字证书不是由受信任的机构颁发的，浏览器会发出另一种警告。