一般来说,http请求的包都可以通过fiddler来抓包(http2.0不支持)。
https抓包的原理是利用中间人攻击,向客户端伪装成服务端,向服务端伪装成客户端,从而可以抓包,但是有部分https的包是抓取不了的。
其中可能用到了SSL Pinning(证书绑定或SSL证书绑定)技术。
然而道高一尺魔高一丈,下面通过一种简单的办法来修改apk的配置,允许https抓包,从而破解SSL Pinning。
解决办法:
- 下载AddSecurityExceptionAndroid,并解压
- 进入目录,cmd执行 addSecurityExceptions.sh app.apk 会生成一个新的apk。
- 卸载之前安装的app,重新安装(直接覆盖会提示签名不一致)
- 这时用fiddler就可以抓包了
原理:修改配置文件后重新打包。