iOS抓包工具Charles的使用

iOS抓包工具Charles的使用首先,设置手机的网络连接电脑共享wifi,同时设置端口号; 其次,涉及到https抓包时,需要设置手机安装和信任ssl证书,以及设置Charles中ssl的配置。一、下载与安装Charles:charles-proxy-3.10.2.dmgjavaSDK:javaforosx.dmg二、网络环境与手机的配置1、开启电脑共享wifi,同时设置主机代理与端口号(1)系统偏好设置——>共享——>互联网共享;(2)系统偏好设置——>网络——>以太网——>高级——&

大家好,又见面了,我是你们的朋友全栈君。

  • 首先,设置手机的网络连接电脑共享wifi,同时设置端口号;
  • 其次,涉及到https抓包时,需要设置手机安装和信任ssl证书,以及设置Charles中ssl的配置。

一、下载与安装
Charles:charles-proxy-3.10.2.dmg
javaSDK:javaforosx.dmg

iOS抓包工具Charles的使用

二、网络环境与手机的配置
1、开启电脑共享wifi,同时设置主机代理与端口号
(1)系统偏好设置——>共享——>互联网共享;
(2)系统偏好设置——>网络——>以太网——>高级——>DHCP客户端ID(默认8888);

iOS抓包工具Charles的使用

 

iOS抓包工具Charles的使用

 

iOS抓包工具Charles的使用

 

iOS抓包工具Charles的使用

 

 

iOS抓包工具Charles的使用

 

2、设置手机代理
(1)查看IP地址:终端命令ifconfig查看,或系统偏好设置——>网络——>以太网——>IP地址
(2)设置——>wifi或无线局域网——>已连接共享wifi名称——>HTTP代理——>手动——>服务器(电脑ip地址)、端口(8888);

iOS抓包工具Charles的使用

iOS抓包工具Charles的使用

 

 

iOS抓包工具Charles的使用

 

iOS抓包工具Charles的使用

三、抓包
1、http抓包
可以清楚的查看到发送的请求头信息,以及服务器返回的没有加密处理的明文信息。
(1)查看请求信息:Structure-Request
(2)查看返回信息:Structure-Response-Text,或JSON

iOS抓包工具Charles的使用

 

iOS抓包工具Charles的使用

2、https抓包

注意:主要是配置手机端和Charles端的SSL证书。

HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议。所以,研究HTTPS协议原理,最终就是研究SSL/TLS协议。
HTTPS是通过一次非对称加密算法(如RSA算法)进行了协商密钥的生成与交换,然后在后续通信过程中就使用协商密钥进行对称加密通信。

 

iOS抓包工具Charles的使用

 

Charles抓HTTPS包原理
Charles本身是一个协议代理工具,如果只是普通的HTTP请求,因为数据本身没经过再次加密,因此作为代理可以知道所有客户端发送到服务端的请求内容以及服务端返回给客户端的数据内容,这也就是抓包工具能够将数据传输内容直接展现出来的原因。对于HTTPS请求,4,6,8步骤的数据都已经经过了加密,代理如果什么都不做的话是无法获取到其中的内容的。为了实现这个过程的数据获取,Charles需要做的事情是对客户端伪装服务端,对服务端伪装客户端,具体截获真实客户端的HTTPS请求,伪装客户端向真实服务端发送HTTPS请求接受真实服务器响应,用Charles自己的证书伪装服务端向真实客户端发送数据内容一般情况下HTTPS中是客户端对服务端做证书校验,当然也有一些金融机构会有用户证书作为提供给服务端做用户认证的工具,保证发出请求的的确是这部分授权用户。我们仅分析客户端对服务单做证书校验的这种。Android有自己的一套HTTPS通信调用方式,以HttpsURLConnection为例

URL url = new URL(“https://wikipedia.org”);  
URLConnection urlConnection = url.openConnection();  
InputStream in = urlConnection.getInputStream();  
copyInputStreamToOutputStream(in, System.out);  

 

上面这段代码就是一个https请求的样例,这种方法的特点是证书校验工作交由系统处理,系统只会允许可信CA签发的数字证书能够访问,私有CA签发的数字证书(比如12306以及我们上文说的Charles证书)是无法访问的。
访问方法1:修改Https通信代码,这种只对开发者开发应用的时候好使,我们需要实现X509TrustManager接口去做自己的一套证书校验,它并不通用,尤其是对于我们抓包而言是不可行的,因为我们没法去修改别人应用中的代码。
访问方法2:将私有CA签发的数字证书安装到手机中并且作为受信任证书保存,这种方式是我们推荐的方式,唯一的缺点是你的手机上可能会在通知栏一直留着一个特殊标志,告诉你网络可能被监控。

(1)手机端配置证书
通过手机浏览器打开网址:http://charlesproxy.com/getssl

注意:安装后ssl证书后,还需要主动设置信任(设置——>通用——>关于本机——>证书信任设置)

 

iOS抓包工具Charles的使用

 

iOS抓包工具Charles的使用

 

iOS抓包工具Charles的使用

 

 

iOS抓包工具Charles的使用

 

iOS抓包工具Charles的使用

 

iOS抓包工具Charles的使用

(2)pc端Charles配置证书 

iOS抓包工具Charles的使用

 注意:
(1)未设置前https的标识都是有个加锁有标识
(2)Host设置,如果不知道具体的API地址时,可设置为星号” * “
(3)Port设置,设置时Port默认都是443

iOS抓包工具Charles的使用

 https请求及返回的信息未设置ss证书时,抓包数据均是乱码,且接口API标识为黄色警告;设置ssl证书后,则能正常显示。

iOS抓包工具Charles的使用

 

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/140876.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Abp配置文件设置IdentityServer客户端

    Abp配置文件设置IdentityServer客户端在没有购买商业版,又没实现IdentityServer配置管理页功能时,我们又得配置客户端时。设想通过appsettings.json,临时添加配置,然后执行.DbMigrator迁移数据。这时原

  • C#TextBox密码框

    C#TextBox密码框WebForm中的TextBox控件作为密码框(如图1)时,需要把TextMode属性设置为Password(如图2),而且要在Page_Load中使用Attributes赋值。protectedvoidPage_Load(objectsender,EventArgse){ReaderPassword.Attributes[“value”]=ReaderPassword.Text;}学习自:https://blog.c

  • 测试用例要素_用例是什么

    测试用例要素_用例是什么测试用例分层每个测试用例都有1个或多个测试步骤(List[step]),每个测试步骤对应一个API请求或其他用例的引用。从上图分析,我们可以看到testsuite中包含了3个测试用例,testca

  • Linux Samba PDC – Domain Model

    Linux Samba PDC – Domain Model

  • 基于IP路由的GSLB《CDN技术详解》

    基于IP路由的GSLB《CDN技术详解》基于IP路由的GSLB是基于路由器原有的路由算法和数据包转发能力工作的。如图所示,有两个本地均衡器1和2,放在不同的POP点中,负责各自POP点内的服务器的负载均衡。先为这两个本地均衡器配置一个相同的VIP地址,对IP网上的路由器来说,这是到同一个IP地址的两条不同的路由。1)当终端a输入URL访问网站时,DNS系统会把VIP作为域名解析结果反馈给终端。2)终端向这个VIP发送请求时,请求数…

  • LeetCode: Distinct Subsequences [115]

    LeetCode: Distinct Subsequences [115]

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号