这是坚持技术写作计划(含翻译)的第56篇,定个小目标999,每周最少2篇。
很多时候针对app和h5的分析都困难重重,不妨换个思路,去小程序碰碰运气。本文分别讲解了从 PC端,Android端,IOS端对小程序抓包的三种方式
准备工作
下载 Fiddler 最新版 www.telerik.com/download/fi…
安装Fiddler,运行并配置Https
Tools -> Options...->Https 勾选捕获Https连接,并安装https证书
配置运行远程连接及代理端口
PC端
用PC端微信好处是调试方便,缺点是,部分小程序有兼容性问题,所以极端场景下还得使用移动端抓包
IOS端
优先推荐使用ios版抓包(因为安卓版本7.0+版本安全策略问题处理起来略微麻烦些)
下载针对移动版的 fiddlercertmaker (fiddler默认带的对于ios13.x经常抓不到包)
设置 ->通用-> 描述文件 -> DO_NOT_TRUST_FiddlerRoot ->安装
设置 ->通用-> 关于本机 -> 证书信任设置 ->DO_NOT_TRUST_FiddlerRoot 打开开关 (IOS 10+后需要手动信任)
设置 -> 无线局域网 -> wifi名称后的 i 图标 ->HTTP代理 ->手动 -> 设置局域网服务器ip 和端口,不用填认证信息
如果抓不到包的话,可以试试 charles ,一般就能抓到
Android端
android 7+版本针对ssl安全性做了加强,简单来说就是不认用户自己安装的证书,针对安卓端的https抓包有四种方案
- 降级到android7.0之前的版本,比如5.x 6.x
- 将设备root,把证书写到系统证书里
- 用虚拟机(比如网易mumu或者夜神)安装7.0之前的版本或者7.0以后的将证书放到系统证书里
- 使用 github.com/MegatronKin… 进行抓包
前三种不管哪种方案,弄好后,都修改wifi的代理设置,设置好代理后,进行抓包就行了
最后
分享几个比较流行的抓包/流量分析工具
招聘小广告
山东济南的小伙伴欢迎投简历啊 加入我们 , 一起搞事情。
长期招聘,Java程序员,大数据工程师,运维工程师,前端工程师。
近期评论