Burp Suite抓包-Android导入HTTPS

from:https://www.cnblogs.com/mysticbinary/p/11613872.html

需求#

Android APP安全测试时,主要工作分为:

  • APK安全
  • 业务安全

APK安全这里不讨论,我说说业务安全,因为大部分的业务校验逻辑还是放在Servier端,这里就会涉及到网络通信了。因此网络抓包是测试的根本,一般APP都会采用HTTP协议、Websocket、Socket协议。其中HTTP协议的最多,Websocket是后起之秀,Socket最少。针对HTTP和Websocket,Burp Suite是进行抓包的不二之选 。

设置代理#

先设置好代理端,在设置Android端;

Burp Suite代理端设置#

Burp Suite抓包-Android导入HTTPS

修改代理监听,选择这个具体地址(Specific address)。注意,Android端也得修改成这个IP。

Android端设置#

找到网络,然后修改网络,
Burp Suite抓包-Android导入HTTPS

Burp Suite抓包-Android导入HTTPS

保存修改就OK了。

发现证书问题#

当访问类似https://m.baidu.com/ 这种https网站时就会报错。现在互联网企业的业务基本也使用https来防止中间人攻击了。发现问题,解决问题,那么下面介绍怎么安装证书,其实和Firefox浏览器安装证书是一样的原理,但是Android在细节步骤上有些不一样,下面是步骤。

先导出cacert.cer证书#

默认是导出cacert.der

Burp Suite抓包-Android导入HTTPS

自己写上文件名
Burp Suite抓包-Android导入HTTPS

Burp Suite抓包-Android导入HTTPS

Burp Suite抓包-Android导入HTTPS
提示导出成功。

去导出路径看看,文件是否存在。
Burp Suite抓包-Android导入HTTPS

传送到Android端#

传送到Android有好几种方法,我以前使用QQ传输,后来发现有adb工具之后,发现太方便了,还能指定路径,一般放到SD卡(外部可访问路径)即可。

Copy
adb push D:\cacert.cer /sdcard/
D:\cacert.cer: 1 file pushed. 0.2 MB/s (973 bytes in 0.004s) // 提示只用了0.004秒 就传输好了,比QQ牛逼一百倍;

Burp Suite抓包-Android导入HTTPS

使用Android自带的工具查看文件:
Burp Suite抓包-Android导入HTTPS

Burp Suite抓包-Android导入HTTPS

Android安装CA证书#

在设置里面搜索安全,
Burp Suite抓包-Android导入HTTPS

选择你的路径
Burp Suite抓包-Android导入HTTPS

Burp Suite抓包-Android导入HTTPS
Burp Suite抓包-Android导入HTTPS

测试HTTPS#

安装好CA证书之后,访问一下HTTPS看看
Burp Suite抓包-Android导入HTTPS

抓包成功。

Burp Suite抓包-Android导入HTTPS

上一篇:aChartEngine图表显示


下一篇:EF、Dapper、NHibernate等ORM框架的比较及优缺点