Charles抓包https

抓取HTTPS請求包担汤,對數(shù)據(jù)進行排查檢驗

1.安裝Charles
2.電腦安裝Charles證書

電腦安裝證書

雙擊還是信任下吧

3.手機安裝證書

手機安裝證書

4.手機網(wǎng)頁輸入網(wǎng)址 下載證書并信任
手機證書下載網(wǎng)址

安裝到手機上

注意:在iOS 10.3之前,當你將安裝一個自定義證書,iOS會默認信任,不需要進一步的設(shè)置力九。而iOS 10.3之后,安裝新的自定義證書默認是不受信任的。如果要信任已安裝的自定義證書,需要手動打開開關(guān)以信任證書粪糙。

iOS11下需要手動信任已下載好的證書,方法如下:

設(shè)置->通用->關(guān)于本機->證書信任設(shè)置-> 找到charles proxy custom root certificate然后信任該證書即可.


iOS11下手動信任證書

5.開始抓包
Charles設(shè)置Proxy
Proxy -> SSL Proxying Settings...虐沥,如下圖所示:

疑問1雁刷,如果設(shè)置成特定的域名發(fā)現(xiàn)還是抓不了包,不知道為什么

選擇Proxy | Recording Settings缘厢,彈出Recording Settings設(shè)置選項卡吃度,勾選include


只展示你想看見的域名結(jié)果

6.原理簡析
如果是HTTP請求,因為數(shù)據(jù)本身并沒加密所以請求內(nèi)容和返回結(jié)果是直接展現(xiàn)出來的贴硫。
但HTTPS是對數(shù)據(jù)進行了加密處理的椿每,如果不做任何應(yīng)對是無法獲取其中內(nèi)容。所以Charles做的就是對客戶端把自己偽裝成服務(wù)器英遭,對服務(wù)器把自己偽裝成客戶端:

  1. Charles攔截客戶端的請求间护,偽裝成客戶端向服務(wù)器進行請求
  2. 服務(wù)器向“客戶端”(實際上是Charles)返回服務(wù)器的CA證書
  3. Charles攔截服務(wù)器的響應(yīng),獲取服務(wù)器證書公鑰挖诸,然后自己制作一張證書汁尺,將服務(wù)器證書替換后發(fā)送給客戶端。(這一步多律,Charles拿到了服務(wù)器證書的公鑰)
  4. 客戶端接收到“服務(wù)器”(實際上是Charles)的證書后痴突,生成一個對稱密鑰,用Charles的公鑰加密狼荞,發(fā)送給“服務(wù)器”(Charles)
  5. Charles攔截客戶端的響應(yīng)辽装,用自己的私鑰解密對稱密鑰,然后用服務(wù)器證書公鑰加密相味,發(fā)送給服務(wù)器拾积。(這一步,Charles拿到了對稱密鑰)
  6. 服務(wù)器用自己的私鑰解密對稱密鑰丰涉,向“客戶端”(Charles)發(fā)送響應(yīng)
  7. Charles攔截服務(wù)器的響應(yīng)拓巧,替換成自己的證書后發(fā)送給客戶端

當然,如果用戶不選擇信任安裝Charles的CA證書昔搂,Charles也無法獲取請求內(nèi)容玲销。還有一種,如果客戶端內(nèi)置了本身的CA證書摘符,這時如果Charles把自己的證書發(fā)送給客戶端贤斜,客戶端會發(fā)現(xiàn)與程序內(nèi)的證書不一致,不予通過逛裤,此時Charles也是無法獲取信息的瘩绒。

參考
mac環(huán)境下使用Charles抓包Https請求
淺談Charles抓包
Charles 抓包IOS中https亂碼解決

寫在最后
本文僅做個人學(xué)習記錄,不做他用带族,有則改之無則加勉锁荔!

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市蝙砌,隨后出現(xiàn)的幾起案子阳堕,更是在濱河造成了極大的恐慌跋理,老刑警劉巖,帶你破解...
    沈念sama閱讀 216,496評論 6 501
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件恬总,死亡現(xiàn)場離奇詭異前普,居然都是意外死亡,警方通過查閱死者的電腦和手機壹堰,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,407評論 3 392
  • 文/潘曉璐 我一進店門拭卿,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人贱纠,你說我怎么就攤上這事峻厚。” “怎么了谆焊?”我有些...
    開封第一講書人閱讀 162,632評論 0 353
  • 文/不壞的土叔 我叫張陵惠桃,是天一觀的道長。 經(jīng)常有香客問我懊渡,道長刽射,這世上最難降的妖魔是什么军拟? 我笑而不...
    開封第一講書人閱讀 58,180評論 1 292
  • 正文 為了忘掉前任剃执,我火速辦了婚禮,結(jié)果婚禮上懈息,老公的妹妹穿的比我還像新娘肾档。我一直安慰自己,他們只是感情好辫继,可當我...
    茶點故事閱讀 67,198評論 6 388
  • 文/花漫 我一把揭開白布怒见。 她就那樣靜靜地躺著,像睡著了一般姑宽。 火紅的嫁衣襯著肌膚如雪遣耍。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,165評論 1 299
  • 那天炮车,我揣著相機與錄音舵变,去河邊找鬼。 笑死瘦穆,一個胖子當著我的面吹牛纪隙,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播扛或,決...
    沈念sama閱讀 40,052評論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼绵咱,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了熙兔?” 一聲冷哼從身側(cè)響起悲伶,我...
    開封第一講書人閱讀 38,910評論 0 274
  • 序言:老撾萬榮一對情侶失蹤艾恼,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后麸锉,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體蒂萎,經(jīng)...
    沈念sama閱讀 45,324評論 1 310
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,542評論 2 332
  • 正文 我和宋清朗相戀三年淮椰,在試婚紗的時候發(fā)現(xiàn)自己被綠了五慈。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 39,711評論 1 348
  • 序言:一個原本活蹦亂跳的男人離奇死亡主穗,死狀恐怖泻拦,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情忽媒,我是刑警寧澤争拐,帶...
    沈念sama閱讀 35,424評論 5 343
  • 正文 年R本政府宣布,位于F島的核電站晦雨,受9級特大地震影響架曹,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜闹瞧,卻給世界環(huán)境...
    茶點故事閱讀 41,017評論 3 326
  • 文/蒙蒙 一绑雄、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧奥邮,春花似錦万牺、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,668評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至蘸朋,卻和暖如春核无,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背藕坯。 一陣腳步聲響...
    開封第一講書人閱讀 32,823評論 1 269
  • 我被黑心中介騙來泰國打工团南, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人堕担。 一個月前我還...
    沈念sama閱讀 47,722評論 2 368
  • 正文 我出身青樓已慢,卻偏偏與公主長得像,于是被迫代替她去往敵國和親霹购。 傳聞我的和親對象是個殘疾皇子佑惠,可洞房花燭夜當晚...
    茶點故事閱讀 44,611評論 2 353

推薦閱讀更多精彩內(nèi)容

  • 目錄 準備 分析2.1. 三次握手2.2. 創(chuàng)建 HTTP 代理(非必要)2.3. TLS/SSL 握手2.4. ...
    RunAlgorithm閱讀 38,142評論 12 117
  • https抓包的實現(xiàn)(一)首先,電腦得裝個證書(1)先去官網(wǎng)下載證書,不然會報“無法找到證書”錯誤(官網(wǎng)注明說該證...
    ZPengs閱讀 2,830評論 0 3
  • Charles抓包https接口使用指南 作為一名iOS攻城獅膜楷,如果你沒有聽說過青花瓷這款軟件旭咽,我只能說你還是回家...
    斷劍閱讀 4,512評論 7 14
  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理,服務(wù)發(fā)現(xiàn)赌厅,斷路器穷绵,智...
    卡卡羅2017閱讀 134,651評論 18 139
  • 文中首先解釋了加密解密的一些基礎(chǔ)知識和概念,然后通過一個加密通信過程的例子說明了加密算法的作用特愿,以及數(shù)字證書的出現(xiàn)...
    納蘭三少閱讀 1,913評論 1 6