Android导入Burp Suite证书抓包HTTPS
需求
Android APP安全测试时,主要工作分为:
- APK安全
- 业务安全
APK安全这里不讨论,我说说业务安全,因为大部分的业务校验逻辑还是放在Servier端,这里就会涉及到网络通信了。因此网络抓包是测试的根本,一般APP都会采用HTTP协议、Websocket、Socket协议。其中HTTP协议的最多,Websocket是后起之秀,Socket最少。针对HTTP和Websocket,Burp Suite是进行抓包的不二之选 。
设置代理
先设置好代理端,在设置Android端;
Burp Suite代理端设置

修改代理监听,选择这个具体地址(Specific address)。注意,Android端也得修改成这个IP。
Android端设置
找到网络,然后修改网络,


保存修改就OK了。
发现证书问题
当访问类似https://m.baidu.com/ 这种https网站时就会报错。现在互联网企业的业务基本也使用https来防止中间人攻击了。发现问题,解决问题,那么下面介绍怎么安装证书,其实和Firefox浏览器安装证书是一样的原理,但是Android在细节步骤上有些不一样,下面是步骤。
先导出cacert.cer证书
默认是导出cacert.der

自己写上文件名



提示导出成功。
去导出路径看看,文件是否存在。

传送到Android端
传送到Android有好几种方法,我以前使用QQ传输,后来发现有adb工具之后,发现太方便了,还能指定路径,一般放到SD卡(外部可访问路径)即可。
adb push D:\cacert.cer /sdcard/
D:\cacert.cer: 1 file pushed. 0.2 MB/s (973 bytes in 0.004s) // 提示只用了0.004秒 就传输好了,比QQ牛逼一百倍;

使用Android自带的工具查看文件:


Android安装CA证书
在设置里面搜索安全,

选择你的路径



测试HTTPS
安装好CA证书之后,访问一下HTTPS看看

抓包成功。
Android端第二种安装证书的方式
- android网络设置代理之后
- 直接访问ip:8080 ,直接在android端的浏览器上下载,下载位置根据机型和浏览器的不同而不同
- 找到下载好的证书,将该证书的后缀改成.cer,点击安装即可,另外android安装证书需要设置一个开机密码。
Android导入Burp Suite证书抓包HTTPS的更多相关文章
- Burp Suite pro 抓包工具配置
下载地址: 链接:https://pan.baidu.com/s/1WyuAlJSWZ3HyyEQlpiH3cA 提取码:6l38 破解相关请查看解压文件链接 1.firefox代理设置: burp ...
- Burp Suite 如何抓取HTTPS请求
1,下载安装burp suite工具 https://portswigger.net/burp/communitydownload 如果是windows系统,选择windows点击Download下载 ...
- 关于Burp Suite不能抓包的解决方法
一.Burp Suite有时能抓到包,有时不能抓到包 解决方法: 出现这种问题的原因就是代理没有设置成全局的,只是设置成了局部的. 打开IE浏览器,依次打开工具->Internet 属性-> ...
- brup安装证书抓取https
brup安装证书抓取https 0x00下载 下载安装brup 前提是需要java环境 0X01配置brup 配置brup的代理设置 0X02设置浏览器 我使用的是火狐,以下都以火狐为例 0X03证书 ...
- 【转】fiddler抓包HTTPS请求
本文转自:http://blog.csdn.net/idlear/article/details/50999490 fiddler抓包HTTPS请求 跟着教程来,保证100%成功抓HTTPS包 教程开 ...
- fiddler抓包HTTPS请求
fiddler抓包HTTPS请求 标签: fiddlerhttps抓包 2016-03-29 21:24 23293人阅读 评论(2) 收藏 举报 分类: 不登高山不知天之高也(1) 版权声明:本 ...
- Charles抓包https
Charles抓包https 灰灰是只小贱狗 2018.05.08 10:46 字数 762 阅读 7800评论 3喜欢 3 抓取HTTPS请求包,对数据进行排查检验 1.安装Charles 2.电脑 ...
- charles抓包https/模拟弱网/设置断点重定向/压测
charles几个常用功能 1,ios 抓包https网页:(如未配置,会显示unknown) 第一步是:给手机安装SSL证书 手机和电脑在同一wifi下,手机wifi配置http代理,ip是电脑 ...
- fiddler在ios10.3系统抓包https失败原因解决
一直是按照以往的设置抓包,设置代理ip,通过Safari下载安装证书,抓包https怎么显示证书无效呢?难道证书被apple设为黑名单了?google后发现,IOS10.3以后,安装了证书不是默认启用 ...
随机推荐
- mybatis 源码分析(六)StatementHandler 主体结构分析
分析到这里的时候,mybatis 初始化.接口.事务.缓存等主要功能都已经讲完了,现在就还剩下 StatementHandler 这个真正干活的家伙没有分析了:所以接下来的博客内容主要和数据库的关系比 ...
- unity之加载场景
游戏中的Loading分为:静态Loading和动态Loading. 简单形象的做个比喻: 静态Loading可能就是一张背景图.而动态的Loading就是在读取的同时有一个东西在“转圈”. 1.静态 ...
- Java网络编程之UDP
Java网络编程之UDP 一.C/S架构中UDP网络通信流程 ①创建DatagramSocket与DatagramPacket对象 ②建立发送端,接收端 ③建立数据包 ④调用Socket的发送.接收方 ...
- 渗透之路基础 -- SQL进阶(盲注和报错注入)
SQL注入之盲注 实战过程中,大多情况下很少会有回显,这个时候就要去使用盲注技术 盲注,Blind SQL Injection,听这名字就感觉整个过程就是一个盲目的过程 当注入时,没有任何提示的时候, ...
- tesseract-ocr下载
参考:http://www.tuicool.com/articles/E3MNziM 1.下载地址:https://sourceforge.net/projects/tesseract-ocr/fil ...
- 2015北京区域赛 Xiongnu's Land
Wei Qing (died 106 BC) was a military general of the Western Han dynasty whose campaigns against the ...
- Erlang模块ets翻译
概要: 内置的存储 描述: 这个模块是Erlang内置存储BIFs的接口.这些提供了在Erlang运行时系统中存储大量数据的能力,并且能够对数据进行持续的访问时间.(在ordered_set的情况下, ...
- 【Offer】[17] 【打印1到最大的n位数】
题目描述 思路分析 测试用例 Java代码 代码链接 题目描述 输入数字n,按顺序打印出从1最大的n位十进制数.比如输入3,则打印出1.2.3一直到最大的3位数即999. 思路分析 要考虑到大数问题, ...
- WebService学习一
什么是WebService? Web service是一个平台独立的,低耦合的,自包含的.基于可编程的web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述.发布.发现.协调和 ...
- 从零开始构建Linux
目的:深入了解以Linux内核为基础的系统是如何组成,运行,以构建一个最基础的,纯净的系统. LFS构建步骤宿主机准备- linux操作系统安装- 使用独立硬盘,创建分区- 配置用户和组- 下载所有需 ...