七、HTTP/HTTPS抓包分析

一、代理配置步骤

  • 配置代理
  • 获取证书
  • 安装证书
  • 信任证书

配置代理

image.png

配置ssl代理,抓取HTTPS

image.png

配置浏览器代理,Chrome推荐SwitchOmega

image.png

image.png

进行抓包

image.png

获取证书,进行安装,从而抓取HTTPS

  • 在浏览器中输入:chls.pro/ssl,进行下载安装证书

    image.png

  • 查看证书是否安装成功


    image.png
  • Chrome等浏览器的证书管理,这里也可以安装证书


    image.png
  • 信任证书


    image.png

所有系统的证书安装方式

  • mac
  • windows
  • android
  • ios
  • 以安装Burpsuite证书为例:
  1. Android等移动设备安装证书
    https://portswigger.net/support/installing-burp-suites-ca-certificate-in-an-android-device
  • 配置代理,地址为本机地址


    image.png
  • 浏览器访问chls.pro/ssl

  • 输入证书名称,安装证书即可


    image.png
  • Android证书信任问题

    • Android 6.0默认用户级别的证书
    • Android7.0以上需要修改apk包属性
    • https://developer.android.com/training/articles/security-config.html
      image.png
  1. windows上安装证书的方式
    https://portswigger.net/support/installing-burp-suites-ca-certificate-in-internet-explorer

  2. 所有安装方式
    https://portswigger.net/support/installing-burp-suites-ca-certificate-in-your-browser

二、演练

  • 使用Android 6.0模拟器抓包
  • 从Android Nougat(7.0)开始,应用程序默认不会信任用户证书,开发人员可以通过配置应用程序AndroidManifest.xml文件的networkSecuritityConfig属性来选择接受用户证书

你可能感兴趣的:(七、HTTP/HTTPS抓包分析)