https抓包
常用抓包工具
- burpsuite
- fiddler
- charles
https单向认证与双向认证
如何抓取https的包
接受所有证书的app
不对证书做严重,直接通过代理就可以抓包;
使用系统证书进行校验的app
- 将代理工具的证书导出为cer格式;
- 将导出的证书安装到手机或浏览器中;
绕过证书的SSL Pinning
- xposed + Just Trust Me
备注:mac电脑升级到Majave版本后,夜神模拟器有bug,推荐使用mumu或者Genymotion模拟器。
这里说一下mumu模拟器安装Xposed+Just Trust Me的过程:
安装最新版的xposed框架会报错如下:
需要使用如下版本的xposed:传送门
备注:mumu模拟器需要在设置--应用兼容性--关闭
安装完成如图所示:
- frida绕过
IOS绕过SSL Pinning
手机越狱后,使用SSL Kill Switch2