网站首页 > 博客文章 正文
最近挖src,发现网站已经没啥收集,就测试一下app,发现竟然在模拟器上面挂了代理会显示网络错误,谷歌查了下资料,发现app是双向认证的,就是客户端发东西到服务器端会看证书,服务器接受客户端会看证书,这样就能躲过中间人攻击了吗?错的!!!看我怎么绕过。
环境:
某模拟器,安装XposedInstaller,这个需要root,还要安装一个JustTrustMe,本次测试环境是安卓7.0以下:
打完勾勾后,就能回到页面进行app抓包了,我使用burpsuite工具进行抓包。模拟器设置和burpsuite代理一样的地址就可以监听数据包了:
看数据包能抓到了。其实原理就是中间人攻击,这个模块能绕过客户端和服务器双向认证。这些app都是很基础的防护,以后我会讲下有些app通过使用frida进行绕过。
猜你喜欢
- 2024-11-05 抓包工具fiddler几个使用技巧(抓包工具fiddler使用方法)
- 2024-11-05 快速锁定Bug!掌握Wireshark等抓包技术,提升测试效率
- 2024-11-05 tcpdump抓包实战(tcpdump抓包命令参数)
- 2024-11-05 分析网络协议利器,使用虚拟网卡实时抓iPhone网络通讯包的方法
- 2024-11-05 Fiddler移动端代理抓包(HTTPS篇)(fiddler抓包https协议)
- 2024-11-05 charles-抓包工具的使用(charles抓包工具详细教程)
- 2024-11-05 手机、电脑网络抓包实战教程(小白教程)!
- 2024-11-05 ibm system x3650 m2 服务器通过局域网抓包获取IP地址
- 2024-11-05 为什么Fiddler等软件能抓包Https网络数据?
- 2024-11-05 常用的抓包工具包含电脑端及手机端
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- powershellfor (55)
- messagesource (56)
- aspose.pdf破解版 (56)
- promise.race (63)
- 2019cad序列号和密钥激活码 (62)
- window.performance (66)
- qt删除文件夹 (72)
- mysqlcaching_sha2_password (64)
- ubuntu升级gcc (58)
- nacos启动失败 (64)
- ssh-add (70)
- jwt漏洞 (58)
- macos14下载 (58)
- yarnnode (62)
- abstractqueuedsynchronizer (64)
- source~/.bashrc没有那个文件或目录 (65)
- springboot整合activiti工作流 (70)
- jmeter插件下载 (61)
- 抓包分析 (60)
- idea创建mavenweb项目 (65)
- vue回到顶部 (57)
- qcombobox样式表 (68)
- vue数组concat (56)
- tomcatundertow (58)
- pastemac (61)
本文暂时没有评论,来添加一个吧(●'◡'●)