需求

Android APP安全测试时,主要工作分为:

  • APK安全
  • 业务安全

APK安全这里不讨论,我说说业务安全,因为大部分的业务校验逻辑还是放在Servier端,这里就会涉及到网络通信了。因此网络抓包是测试的根本,一般APP都会采用HTTP协议、Websocket、Socket协议。其中HTTP协议的最多,Websocket是后起之秀,Socket最少。针对HTTP和Websocket,Burp Suite是进行抓包的不二之选 。

设置代理

先设置好代理端,在设置Android端;

Burp Suite代理端设置

修改代理监听,选择这个具体地址(Specific address)。注意,Android端也得修改成这个IP。

Android端设置

找到网络,然后修改网络,

保存修改就OK了。

发现证书问题

当访问类似https://m.baidu.com/ 这种https网站时就会报错。现在互联网企业的业务基本也使用https来防止中间人攻击了。发现问题,解决问题,那么下面介绍怎么安装证书,其实和Firefox浏览器安装证书是一样的原理,但是Android在细节步骤上有些不一样,下面是步骤。

先导出cacert.cer证书

默认是导出cacert.der

自己写上文件名



提示导出成功。

去导出路径看看,文件是否存在。

传送到Android端

传送到Android有好几种方法,我以前使用QQ传输,后来发现有adb工具之后,发现太方便了,还能指定路径,一般放到SD卡(外部可访问路径)即可。

adb push D:\cacert.cer /sdcard/

D:\cacert.cer: 1 file pushed. 0.2 MB/s (973 bytes in 0.004s) // 提示只用了0.004秒 就传输好了,比QQ牛逼一百倍;

使用Android自带的工具查看文件:

Android安装CA证书

在设置里面搜索安全,

选择你的路径



测试HTTPS

安装好CA证书之后,访问一下HTTPS看看

抓包成功。

Android端第二种安装证书的方式

  1. android网络设置代理之后
  2. 直接访问ip:8080 ,直接在android端的浏览器上下载,下载位置根据机型和浏览器的不同而不同
  3. 找到下载好的证书,将该证书的后缀改成.cer,点击安装即可,另外android安装证书需要设置一个开机密码。

Android导入Burp Suite证书抓包HTTPS的更多相关文章

  1. Burp Suite pro 抓包工具配置

    下载地址: 链接:https://pan.baidu.com/s/1WyuAlJSWZ3HyyEQlpiH3cA 提取码:6l38 破解相关请查看解压文件链接 1.firefox代理设置: burp ...

  2. Burp Suite 如何抓取HTTPS请求

    1,下载安装burp suite工具 https://portswigger.net/burp/communitydownload 如果是windows系统,选择windows点击Download下载 ...

  3. 关于Burp Suite不能抓包的解决方法

    一.Burp Suite有时能抓到包,有时不能抓到包 解决方法: 出现这种问题的原因就是代理没有设置成全局的,只是设置成了局部的. 打开IE浏览器,依次打开工具->Internet 属性-> ...

  4. brup安装证书抓取https

    brup安装证书抓取https 0x00下载 下载安装brup 前提是需要java环境 0X01配置brup 配置brup的代理设置 0X02设置浏览器 我使用的是火狐,以下都以火狐为例 0X03证书 ...

  5. 【转】fiddler抓包HTTPS请求

    本文转自:http://blog.csdn.net/idlear/article/details/50999490 fiddler抓包HTTPS请求 跟着教程来,保证100%成功抓HTTPS包 教程开 ...

  6. fiddler抓包HTTPS请求

    fiddler抓包HTTPS请求 标签: fiddlerhttps抓包 2016-03-29 21:24 23293人阅读 评论(2) 收藏 举报  分类: 不登高山不知天之高也(1)  版权声明:本 ...

  7. Charles抓包https

    Charles抓包https 灰灰是只小贱狗 2018.05.08 10:46 字数 762 阅读 7800评论 3喜欢 3 抓取HTTPS请求包,对数据进行排查检验 1.安装Charles 2.电脑 ...

  8. charles抓包https/模拟弱网/设置断点重定向/压测

    charles几个常用功能   1,ios 抓包https网页:(如未配置,会显示unknown) 第一步是:给手机安装SSL证书 手机和电脑在同一wifi下,手机wifi配置http代理,ip是电脑 ...

  9. fiddler在ios10.3系统抓包https失败原因解决

    一直是按照以往的设置抓包,设置代理ip,通过Safari下载安装证书,抓包https怎么显示证书无效呢?难道证书被apple设为黑名单了?google后发现,IOS10.3以后,安装了证书不是默认启用 ...

随机推荐

  1. Nginx和Apache各自的优缺点

    nginx 相对 apache 的优点: 轻量级,同样起web 服务,比apache 占用更少的内存及资源 抗并发,nginx 处理请求是异步非阻塞的,而apache 则是阻塞型的,在高并发下ngin ...

  2. KVC的使用

    KVC的使用如下: (1)利用给对象的属性赋值,调用如下两个方法 - (void)setValue:(nullable id)value forKey:(NSString *)key; - (void ...

  3. MyBatis 封装Map,返回不同实体的集合对象

    现在有一个需求,就是从100个表中获得任意表中的数据,按照正常的思维模式和处理方式, 我们首先会创建100个实体类(累死!),然后通过resultType一一对应实体类,这种方式简直...  那么我们 ...

  4. 五大典型场景中的API自动化测试实践

    一.API 测试的基本步骤 通常来讲,API 测试的基本步骤主要包括以下三大步骤: 1.准备测试数据: 2.通过通用的或自己开发的API测试工具发起对被测API的request: 3.验证返回结果的r ...

  5. 用Python操作文件

    用Python操作文件 用word操作一个文件的流程如下: 1.找到文件,双击打开. 2.读或修改. 3.保存&关闭. 用Python操作文件也差不多: f=open(filename) # ...

  6. poj2186Popular Cows+tarjan缩点+建图

    传送门: 题意: 给出m条关系,表示n个牛中的崇拜关系,这些关系满足传递性.问被所有牛崇拜的牛有几头: 思路: 先利用tarjan缩点,同一个点中的牛肯定就是等价的了,建立新的图,找出其中出度为0的点 ...

  7. CodeForces Round #499 Div2

    A: Stages 题意: 给你n个字符, 现在需要从中选取m个字符,每个字符的花费为在字母表的第几位,并且如果选了某个字符, 那么下一个选择的字符必须要在字母表的2位之后, 假如选了e 那么 不能选 ...

  8. yzoj P1122 阶乘 题解

    T组数据,给出N,求出N!最右边非零的数. 对于30%的数据,N <= 30,T<=10. 对于全部的数据,N <= 10^2009,T<=30. 一道数学题 解析 N!/(1 ...

  9. git bash下添加忽略文件列表

    转载自:https://blog.csdn.net/weixin_42808389/article/details/81232119 在用KEIL 5(MDK ARM)开发项目时需要用到GIT管理代码 ...

  10. java 自动生成四则运算式

    本篇文章将要介绍一个“自动生成四则运算式”的java程序,在没有阅读<构建之法>之前,我已经通过一个类的形式实现了要求的功能,但是当阅读完成<构建之法>之后,我意识到自己所写程 ...