一、代理配置步骤
- 配置代理
- 获取证书
- 安装证书
- 信任证书
配置代理
配置ssl代理,抓取HTTPS
配置浏览器代理,Chrome推荐SwitchOmega
进行抓包
获取证书,进行安装,从而抓取HTTPS
-
在浏览器中输入:
chls.pro/ssl,进行下载安装证书
-
查看证书是否安装成功
-
Chrome等浏览器的证书管理,这里也可以安装证书
-
信任证书
所有系统的证书安装方式
- mac
- windows
- android
- ios
- 以安装Burpsuite证书为例:
- Android等移动设备安装证书
https://portswigger.net/support/installing-burp-suites-ca-certificate-in-an-android-device
-
配置代理,地址为本机地址
浏览器访问
chls.pro/ssl-
输入证书名称,安装证书即可
-
Android证书信任问题
- Android 6.0默认用户级别的证书
- Android7.0以上需要修改apk包属性
-
https://developer.android.com/training/articles/security-config.html
windows上安装证书的方式
https://portswigger.net/support/installing-burp-suites-ca-certificate-in-internet-explorer所有安装方式
https://portswigger.net/support/installing-burp-suites-ca-certificate-in-your-browser
二、演练
- 使用Android 6.0模拟器抓包
- 从Android Nougat(7.0)开始,应用程序默认不会信任用户证书,开发人员可以通过配置应用程序
AndroidManifest.xml文件的networkSecuritityConfig属性来选择接受用户证书
