Android 7.0解决抓取不到https请求的问题

最新推荐文章于 2022-10-20 17:58:31 发布
转载 最新推荐文章于 2022-10-20 17:58:31 发布 · 1.6k 阅读 · 1
文章标签:

#charles

本文介绍了解决Android 7.0系统中使用Charles无法抓取HTTPS请求的问题。通过配置network_security_config.xml文件并信任用户导入的证书,实现了抓包功能。适用于需要在Android 7.0设备上进行HTTPS请求抓包调试的开发者。
问题:Android7.0系统,使用charles不能抓取https请求

解决方法: 

1.在源码res目录下新建xml目录,增加network_security_config.xml文件

(工程名/app/src/main/res/xml/network_security_config.xml)
 
network_security_config.xml文件内容为:
复制代码 
<network-security-config>
    <base-config cleartextTrafficPermitted="true">

        <trust-anchors>
            <certificates src="system" overridePins="true" />
            <certificates src="user" overridePins="true" />
        </trust-anchors>

    </base-config>

</network-security-config>
复制代码

 

 
说明:certificates说明的src=“system"表示信任系统的CA证书,src=“user"表示信任用户导入的CA证书
 

2.修改项目的AndroidManifest.xml文件,在application中增加android:networkSecurityConfig="@xml/network_security_config"

 
复制代码 
<?xml version="1.0" encoding="utf-8"?>
<manifest ... >
    <application android:networkSecurityConfig="@xml/network_security_config"
                    ... >
        ...
    </application>
</manifest>
复制代码

 

说明:android:networkSecurityConfig的值指向的就是上一步创建的xml文件
 
3.然后再打包安装apk即可
前提手机已经要安装了fiddler等CA证书哈
 

问题原因:

Android7系统,默认不信任用户导入的CA证书,所以需要配置文件,来信任用户导入的证书
 
 
参考文档:
https://www.charlesproxy.com/documentation/using-charles/ssl-certificates/
接口测试实战 | Android 高版本无法抓取 HTTPS,怎么办?
ceshirenhemin的博客
08-31 419
在接口测试中,相信很多人都遇到过 Android 高版本(Android7.0 以上)系统无法抓包的问题。由于在测试过程中对分析定位问题很不方便,所以就想找开发的同学帮忙,结果开发也说搞不定,那只能自己解决了。问题分析问题原因分析如下:问题Android6.0 及以下系统可以抓包,而 Android7.0 及以上系统不能抓包;原因:Android7.0+ 的版本新增了证书验证,所以 App 内不再像原来一样默认信任用户的证书;参考网上资料得到如下解决方案:方案一在 Android 工程目录的 res 底下
在Mac下使用Charles抓取Android 7.0以上的Https请求
Tomdogs的专栏
12-18 1251
  因为开发需求,需要抓取 AndroidHttps 请求,花了较长时间才配置好,这里记录下。 一、Charles 设置 我使用的时 Charles 4.2.8 破解版,至于怎么破解,在这里就不说了,网上有比较多的教程。 1. 第一步 Help --> SSL Proxying --> Charles Root Certificate Help 2. 第二步 找到 Charles Proxy的证书,点击信任,选择始终信任 这里要注意的是是在 系统 --> 所有项目 里面去找Cha
安卓7.0及以上版本抓包https问题
流柯软件测试
07-03 3676
文章目录现象原因解决办法webview抓包失败警告 现象 android7.0以上的手机https抓包失败(安装了https证书也不行) 原因 android7.0+的版本新增了证书验证(系统证书) 解决办法 前提:在手机端和电脑端都必须安装https的安全证书 配置:打测试包时,项目设置默认信任所有证书(系统+用户) 1.在工程res-xml目录中创建一个名为 network_security_config.xml的文件,文件内容如下: <network-security-config>
Android平台HTTPS抓包解决方案及问题分析
青铜的博客
05-27 2023
内容简介:HTTP协议发展至今已经有二十多年的历史,整个发展的趋势主要是两个方向:效率和安全。效率方面,从HTTP1.0的一次请求一个连接,到HTTP1.1的连接复用,到SPDY/HTTP2的多路复用,到QUIC/HTTP3的基于UDP传输,在效率方面越来越高效。安全方面,从HTTP的明文,到HTTP2强制使用TLSv1.2,到QUIC/HTTP3强制使用TLSv1.3,越来越注重数据传输的安全性。总而言之,HTTP协议的发展对用户是友好的,但是对开发者而言却不那么友善。抓包是每个程序员的必修技能之一,尤其
使用Fiddler抓HTTP/HTTPS包,Android7.0以后https抓包失败问题
翛然树的博客
10-20 2715
不到包,很可能目标APP使用了其它HTTP Client,比如自带一个libcurl的so,那样最终调用的是系统的Socket API,WLAN上设置的HTTP/HTTPS代{过}{滤}理对它无效,但其实这种情况很少,市面上绝大多数的应用,都是使用URLConnection和OkHttp,尤其是近些年的应用,几乎都是清一色的OkHttp,所以绝大多数情况下都能抓到包,如果抓不到,很可能是应用自己进行了额外的SSL证书校验工作,根据情况再特殊分析特殊处理。中的思路在Android上的实践。
Android 7.0以上 无法抓取Https解决办法
paihuai_00的博客
02-19 1311
Android 官网:网络安全配置 近期升级了targetSdkVersion到28,发现无法抓取https请求包,查看了一下,Google修改安全策略了 #####默认配置 Android6.0 (API 级别 23)及更低版本应用的默认配置如下所示: <base-config cleartextTrafficPermitted="true"> <...
http(S)系列之(四):Fiddler手机客户端抓包以及android7.0以上手机无法抓取https解决办法
foshengtang的博客
10-27 3190
骚聊: 这段时间发现心慌慌,自我分析了一下:1.每篇文章都是带着《学习的目的+个人实践+个人理解》编写的,越深入越爽那是夜话,技术是越深入越细心谨慎然后越爽,学习不可操之过急,并且必须坚持不懈;2.时间,感觉自己在追逐时间,有的时候在偷点懒。努力到感动自己,拼搏到无能为力不是我的初衷,我也非常讨厌这句话,我的设想是照顾家庭之外的时间坚持不懈完成自己的理想,但是有的时候偷了懒,所以心里不爽利。 前言 http(s)涉及安全的目的肯定是防信息泄漏,防信息篡改并被冒充,本篇文章主要针对http以及https分开讨
解决安卓7.0以后https不到包的问题
ssrf
08-25 2652
1、把代理证书放到系统证书根目录下 安卓7.0以后,安卓不信任用户安装的证书,所以抓https时无法解码请求,对于第三方应用,需要将证书添加为系统证书,使用安卓手机添加证书。 需如下: root手机 安装openssl 1、burp到导出证书 2、计算导出证书的hash值 openssl x509 -inform DER -subject_hash_old -in C:\Users\s\Desktop\burp.cer 3、生成系统预设格式证书文件 openssl x509 -inform D
Android7.0 以上Charles抓取HTTPS解决方法
weixin_45697761的博客
04-20 988
Android7.0 以上Charles抓取HTTPS解决方法 经过俺多天的努力,终于找到了Charles抓取HTTPS接口的解决方法 下载VritualXposed apk包安装到android手机 链接:https://pan.baidu.com/s/1reFsjoHdXETHp6zo78Deow 提取码:suns 下载JustTrustMe apk包安装到android手机 链接:https://pan.baidu.com/s/1reFsjoHdXETHp6zo78Deow 提取码:suns 安装完
Android 学习记录】:针对Android 7.0不到HTTPS包的情况
卦星的专栏
03-08 5293
学习记录:针对Android 7.0不到HTTPS包的情况 学习记录:针对Android 7.0不到HTTPS包的情况 背景 环境: 抓包方案 背景 前段时间需要抓包,目前做https强证书校验的越来越多,手机升级之后,导致很多时候抓不到包,因此,总结一下抓包方法,这里基本没有自己研究的内容,都是从其他的博客搬过来汇总的 环境: 1,一台root的手机 ...
解决安卓7.0后手机,https无法抓包问题
lxq18817388351的博客
12-13 3396
1、在linux系统(或下载openssl工具)下执行openssl x509 -inform DER -in FiddlerRoot.cer -out FiddlerRoot.pem,把fiddler证书文件转换成pem格式 2、再执行openssl x509 -inform pem -subject_hash_old -in FiddlerRoot.pem |head -1,生成一个hash值...
android版本7.0以上无法抓取https
hnnd123的博客
05-09 2786
由于android7.0+版本新增了证书验证,如果不增加配置默认是无法抓取https请求的。 解决方案: 在app清单文件的下增加:android:networkSecurityConfig="@xml/network_security_config" 来指定一个网络配置文件。 内容: <network-security-config> <base-config cl...
解决 Android7.0+ 无法抓Https
zhoumi_
01-27 1538
最好选择偏原生的系统 推荐谷歌 其次一加 魅族 小米 系列手机 建议刷Pixel 系统 首先手机需要获取root权限 adb命令将抓包工具证书从用户目录移动至系统目录 adb shell #连接手机进入shell模式 su #root权限 cd /data/misc/user/0/cacerts-added #进入用户证书目录 ls #查看下可忽略 mount -o rw,remount /system #挂载 如果这一步出问题删掉system 就行 cp * /etc/security/cacerts.
AndroidAndroid不能进行http请求https抓包后请求失效的解决
devnn的专栏
08-27 3310
在targetSdkVersion设置成28或更大时,应用发送http请求会报错: Exception: IOException java.io.IOException: Cleartext HTTP traffic to * not permitted 在targetSdkVersion设置成24或更大时,使用抓包工具(比如charles)无法对https请求进行抓包,即使安装了证书。 现在我...
Charles破解方法
qq_28285625的博客
06-29 1311
// Charles Proxy License // 适用于Charles任意版本的注册码,谁还会想要使用破解版呢。 // Charles 4.2目前是最新版,可用。 Registered Name: https://zhile.io License Key: 48891cf209c6d32bf4    本方法通杀charlse系列激活问题。 破解方式: 菜单栏 help 里Re...
Android9.0 http网络请求失败问题分析与解决方案
热门推荐
freak_csh的博客
01-22 1万+
最近做的项目,在8.0版本以下都是可以正常使用,突然接收到反馈说软件在9.0无法使用,连登陆都无法登陆。而刚好我的手机也刚升级到9.0系统,就进行了测试,发现问题和查找问题,得到以下错误原因和解决方案: 1、用Retrofit请求网络报这个错 CLEARTEXT communication to host not permitted by network 由于 Android P 限制了明文流量...
android使用Charles抓包https请求
xydzjnq的博客
06-29 1万+
最近编辑于2018年6月29日 按照正常抓http的方式进行抓包,会出现如下情况: https抓包就是需要在电脑端和移动端装上安全证书。 电脑端的安装: 手机端就是需要到手机浏览器打开chls.pro/ssl下载安全证书安装到手机上,如下所示: 再在青花瓷上设置一下SSL Proxying,7.0以下的android手机就能正常抓包了: 但是在7.0...
安卓手机使用Fiddler和Charles无法抓到https协议的请求解决办法
树新风的博客
01-28 4313
Android7.0 之后默认不信任用户添加到系统的CA证书,即使你的安卓手机上安装了抓包工具生成的证书文件,安卓系统对这个证书也是不信任的,这就是导致无法抓到https协议请求的原因。 解决方案一: 最简单的办法就是换手机,换个iPhone手机(土豪请随意),或者换个安卓7.0系统以下版本的安卓手机。 解决方案二: 此方法需要手机获得root权限 将抓包软件的证书安装成系统证书 系统证书目录:/...
Charles Proxy 详细个我讲讲如何用他抓取小程序的请求
最新发布
11-07
<think>我们被要求使用Charles Proxy抓取小程序请求,特别是微信小程序。 根据引用内容,我们需要配置Charles的代理设置,安装证书,并确保手机信任该证书。 但需要注意的是,高版本Android7.0+)对用户安装的证书默认不信任,我们需要特殊处理。 此外,微信小程序可能还有额外的安全机制。 步骤: 1. Charles基础配置(设置代理端口,启用SSL代理) 2. 手机代理配置(设置代理指向运行Charles的电脑) 3. 在手机上安装Charles根证书 4. 针对高版本Android系统,可能需要将证书安装为系统证书(需要root)或使用其他方法 5. 配置Charles的SSL Proxy Settings,添加需要抓取的域名(或者使用*:*抓取所有,但可能有安全风险) 6. 启动小程序并抓包 详细步骤: </think>### 使用Charles Proxy抓取小程序请求的详细方法 #### **一、基础环境配置** 1. **Charles基础设置** - 打开 Charles → `Proxy` → `Proxy Settings` - 勾选 `Enable HTTP Proxy` - 设置端口(默认`8888`)→ 点击 **Apply** [^1] ```mermaid graph LR A[Proxy菜单] --> B[Proxy Settings] B --> C[Enable HTTP Proxy] C --> D[设置端口8888] ``` 2. **启用SSL代理** - `Proxy` → `SSL Proxying Settings` - 勾选 `Enable SSL Proxying` - 添加域名规则:`*:*`(抓取所有HTTPS请求)或指定域名(如 `*.servicewechat.com`)[^2] --- #### **二、手机端操作** 1. **代理配置** - 手机连接与PC**同一Wi-Fi** - Wi-Fi高级设置 → 代理选 **手动** - 主机名:`电脑IP`(Charles顶部菜单 `Help` → `Local IP Address` 查看) - 端口:`8888` 2. **安装Charles证书** - 手机浏览器访问:`http://chls.pro/ssl` - 下载 `Charles Proxy CA` 证书 - **Android**: - 设置 → 安全 → 安装证书 → 选择下载的文件 - **Android 7+ 额外步骤**:需Root后将证书移至 `/system/etc/security/cacerts/`[^3] - **iOS**: - 安装描述文件 → `设置` → `通用` → `关于` → `证书信任设置` → 启用Charles证书 --- #### **三、解决小程序抓包问题** 1. **高版本Android兼容** - 若抓不到HTTPS请求: - 使用低版本Android设备(<7.0)[^3] - 或Root后执行: ```bash adb push charles-cert.pem /system/etc/security/cacerts/ adb shell chmod 644 /system/etc/security/cacerts/charles-cert.pem ``` 2. **绕过微信安全机制** - 关闭微信后重新启动 - 首次打开小程序时确保Charles已在抓包状态 --- #### **四、验证抓包结果** 1. 手机打开目标小程序 2.Charles中观察请求: - 成功捕获:显示具体请求(如 `https://servicewechat.com/...`) - 失败标志:显示 `Tunnel to...` 或 `Unknown` - 检查证书是否信任 - 确认SSL代理规则包含 `*:*` > ✅ **成功示例**: > ``` > GET https://miniapp.example.com/api/data > HTTP/1.1 200 OK > { "data": [...] } > ``` --- #### **五、高级技巧** 1. **过滤请求** - `Proxy` → `Recording Settings` → `Include` 中添加小程序域名 2. **映射本地文件** - `Tools` → `Map Local` → 将线上请求映射到本地JSON(调试用) 3. **断点调试** - 右键请求 → `Breakpoints` → 修改请求/响应数据 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值