首页 » 漏洞 » Fiddler监控任意APK的HTTPS请求

Fiddler监控任意APK的HTTPS请求

 

 APK的http请求中使用的安全措施大致可以分成3个阶段:

java层的签名+加密 so层的签名+加密 https

当然,并不是说在so中的安全措施就一定比在java层的安全,https亦如此(曾经看过一个apk在java层模拟了https,一样也能起到比较好的安全防护效果)。

https也不能完全保障安全性,APK的保护还是需要综合各类措施。这篇文章将介绍如何使用fiddler监控任意APK发送的https请求,可以直接看到解密之后的https请求数据。

1.配置Fiddler

在Fillder工具栏上 Tools -> Fiddler Options -> HTTPS中选中 Decrypt HTTPS traffic,Ignore server certificate errors(选中之后要选择信任fiddler根证书):

Fiddler监控任意APK的HTTPS请求

在Tools -> Fiddler Options -> Connections中设置fiddler的代理端口,并勾选Allow remote computer to connect:

Fiddler监控任意APK的HTTPS请求

然后重启Fiddler。

2.手机端配置全局代理

手机和PC要在同一个局域网内,并且能互相ping通。下载 ProxyDroid 配置全局代理,将Host设置成Fiddler所在的ip,端口设置成上面配置的9999,Proxy Type中选择HTTP,在Global Proxy上打上勾,最后启用代理(Enable Proxy):

Fiddler监控任意APK的HTTPS请求

3.抓取解密后的https数据

设置完之后就可以自动抓取并解密https数据包了:

Fiddler监控任意APK的HTTPS请求

原文链接:Fiddler监控任意APK的HTTPS请求,转载请注明来源!

0