Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

手机通过代理连接很多captureError的情况,请问怎么使用?小白提问 #66

Open
TimeCyber opened this issue Oct 18, 2024 · 4 comments
Open

手机通过代理连接很多captureError的情况,请问怎么使用?小白提问 #66

TimeCyber opened this issue Oct 18, 2024 · 4 comments

Comments

@TimeCyber
Copy link

image
@avwo
Copy link
Owner

avwo commented Oct 18, 2024

没有安装根证书,或者是 ssl pinning

@dxcqcv
Copy link

dxcqcv commented Nov 12, 2024

我也遇到这个样的问题,但情况有点不一样,证书已经安装了,而且可以抓网页,但小程序抓不了报captureError,不知道为什么? 如果ssl pinning怎么处理?

Snip20241112_10

@dxcqcv
Copy link

dxcqcv commented Nov 12, 2024

ai了一下,发现要绕过ssl pinning很麻烦,@avwo 有什么好方法推荐吗?

SSL Pinning是一种安全措施,用于防止中间人攻击,它通过在应用中硬编码服务器的证书或公钥,确保应用只与拥有特定证书的服务器通信。如果你在抓包时遇到SSL Pinning,以下是一些可能的解决方法:

反编译应用:
使用工具如apktool、dex2jar、JD-GUI等对应用进行反编译。
找到负责SSL Pinning的代码部分,通常是网络请求初始化的地方。
修改代码,禁用SSL Pinning功能,然后重新编译和签名应用。
使用Xposed框架:
如果是Android设备,可以使用Xposed框架。
安装相应的模块(如SSL Unpinning)来禁用应用的SSL Pinning。
使用Magisk模块:
类似于Xposed,Magisk也提供了模块来禁用SSL Pinning。
使用代理工具:
使用支持SSL Pinning绕过的代理工具,如Burp Suite搭配Brida插件。
这些工具可以在握手过程中替换证书,从而绕过SSL Pinning。
修改系统证书:
将抓包工具的证书添加到设备的信任证书存储中。
这通常需要root权限,并且不一定能够绕过所有的SSL Pinning实现。
定制ROM:
如果上述方法都不适用,可以考虑定制设备的ROM,完全控制设备的证书信任链。
请注意,绕过SSL Pinning可能会违反法律法规,并可能涉及侵犯隐私和安全风险。在进行此类操作之前,请确保你有合法的权限,并且行为符合相关的法律法规和道德规范。如果是出于安全测试目的,请确保获得了授权。

@avwo
Copy link
Owner

avwo commented Nov 12, 2024

换 iphone 试试

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
3 participants
@dxcqcv @TimeCyber @avwo