七、HTTP/HTTPS抓包分析

一、代理配置步骤

• 配置代理
• 获取证书
• 安装证书
• 信任证书

配置代理

image.png

配置ssl代理，抓取HTTPS

image.png

配置浏览器代理，Chrome推荐SwitchOmega

image.png

image.png

进行抓包

image.png

获取证书，进行安装，从而抓取HTTPS

• 在浏览器中输入：chls.pro/ssl，进行下载安装证书
  

  image.png

• 查看证书是否安装成功

  
  
  image.png

• Chrome等浏览器的证书管理，这里也可以安装证书

  
  
  image.png

• 信任证书

  
  
  image.png

所有系统的证书安装方式

• mac
• windows
• android
• ios
• 以安装Burpsuite证书为例：

1. Android等移动设备安装证书
   https://portswigger.net/support/installing-burp-suites-ca-certificate-in-an-android-device

• 配置代理，地址为本机地址

  
  
  image.png

• 浏览器访问chls.pro/ssl

• 输入证书名称，安装证书即可

  
  
  image.png

• Android证书信任问题

  • Android 6.0默认用户级别的证书
  • Android7.0以上需要修改apk包属性
  • https://developer.android.com/training/articles/security-config.html
    
    image.png

2. windows上安装证书的方式
   https://portswigger.net/support/installing-burp-suites-ca-certificate-in-internet-explorer

3. 所有安装方式
   https://portswigger.net/support/installing-burp-suites-ca-certificate-in-your-browser

二、演练

• 使用Android 6.0模拟器抓包
• 从Android Nougat(7.0）开始，应用程序默认不会信任用户证书，开发人员可以通过配置应用程序AndroidManifest.xml文件的networkSecuritityConfig属性来选择接受用户证书