问题描述
我有一个需要对其进行性能测试的应用程序,但是由于无法捕获流量,因此启用了固定功能。有没有可以帮助我捕获流量的特定工具?
解决方法
固定是在客户端实现的另一层安全性,它使移动应用程序仅在HTTPs连接建立期间信任特定的SSL证书,而不信任安装在设备信任库中的证书。由于该实现是客户端实现,因此可以使用以下技术轻松绕过它:
SSL固定是在客户端实现的另一安全层,它使移动应用程序仅在HTTPs连接建立期间信任特定的SSL证书,而不信任安装在设备信任库中的证书。由于该实现是客户端实现,因此可以使用以下技术轻松绕过它:
自动方法
Xposed模块,例如SSLUnpinning 2.0。 FRIDA(动态仪器工具)-通用SSL固定绕过脚本。 Inspeckage-Android包检查器 手动方法
我觉得这是绕过SSL固定的最后一个,最复杂且最可靠的解决方案。以下是执行相同操作的步骤。
了解SSL固定的实现。您可以参考这个中型博客,该博客解释了使用不同的网络库(例如OkHttp,Volley,Retrofit等)实现SSL固定的情况。 分析负责任的方法,并使用SMALI代码进行映射。 在分析并确定了负责任的方法后,我们可以使用以下方法绕过SSL固定:
篡改应用
篡改SMALI代码以绕过SSL固定。 使用APKTool重新构建应用程序。 辞职并安装该应用程序并捕获流量。