SSL Pinning 加密app的处理

最新推荐文章于 2025-07-12 11:45:47 发布
最新推荐文章于 2025-07-12 11:45:47 发布
阅读量2.5k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42681868/article/details/91506895
本文介绍了解决SSLPinning加密技术导致的抓包难题,通过使用Xposed框架及JustTrustMe模块,实现在不修改APP源码情况下绕过证书验证,配合Fiddler完成HTTPS请求抓包。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SSL Pinning 加密app的处理

使用抓包软件代理时,访问服务器证书被抓包软件接受后重新发出的证书已经变了,加密app发现证书变了之后就会给出如下响应:

app:页面无法显示
抓包工具:抓不到HTTPS的网页。只有一些无效的网页,connection 连接,或者全是图片。

处理方式:
麻烦的方法:

https://zhuanlan.zhihu.com/p/56397466

xposed+justtrustme 法:

https://blog.youkuaiyun.com/zhuwu01860/article/details/82146246
https://bbs.pediy.com/thread-226435.htm

1:安装安卓模拟器(网易mumu 5.0以下)
2:在模拟器中安装Xposed(作用:不修改app的APK内容的情况下,影响app的运行)
3:在模拟器中安装JustTrustMe (Xposed的一个模块,作用:阻止app验证 SSL证书)
4:使用fidller进行抓包 (模拟器中wifi的代理地址设置为宿主机的ip,在模拟器中需要用http://xxx.xxx.xx.xx:8888下载和安装证书)

Android 开发中的SSL pinning
xiangzhihong8的专栏
12-17 1186
在日常的安全渗透过程中,我们经常会遇到瓶颈无处下手,这时候如果攻击者从APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。而测试人员对APP进行渗透的首步操作通常就是上burp或者Charles这类抓包工具进行抓包,查看请求记录里的域名及链接地址是否可以进一步利用。我们都知道http协议传输的是明文信息,是可以直接捕获的,从而造成了数据泄露。
使用TLS/SSL Pinning保护安卓应用程序
虎哥LoveDroid
12-24 2000
SSL/TLS:互联网安全的动态二人组!🔒💻 这些是建立安全通信渠道的加密协议,确保在线交换过程中的数据隐私、完整性和认证。SSL率先出击,但TLS就像超级英雄一样赶来,解决了混乱,拯救了一天!🦸‍♂️ 现在,它们携手合作,保护我们的数据免受邪恶黑客的侵害!🔒😎在互联网安全领域,现代技术斗篷下的是 TLS,让 SSL 在怀旧的尘埃中留下了身影!🚀 所以下次当你浏览网页时,记住,是 TLS 像老板一样守护你的秘密!
Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip
03-17
Android 7.0+ 抓包https方案,突破ssl-pinning 使用方法:https://blog.youkuaiyun.com/u014644574/article/details/104930877
Android APP SSLPinning证书绑定绕过
samli的博客
03-20 3160
现在测试过程中有没有感觉遇到能直接抓包的APP,简直要拜菩萨,经常测试APP的心路历程是,欸,我的证书怎么又出问题了,重新导证书后,欸,怎么还是抓不到MMP…。 为什么https的网站使用伪证书可以抓到,而在app里面同样的方法就抓不到? 浏览器允许用户忽略证书告警; 浏览器允许用户导入证书到证书信任区,从而伪造证书; 也就是我们常用的burpsuite导证书操作,所以网站可以利用这种方式...
Frida绕过SSL Pinning (证书绑定)抓包;Frida注入;app无法抓包问题解决。
最新发布
woai_zhongguo的博客
07-12 1183
Frida绕过SSL Pinning (证书绑定)抓包;Frida注入;app无法抓包问题解决。
某音短视频APP 最新版(21.8)SSL PINNING 绕过
Sajor的博客
05-12 1万+
某音短视频APP 最新版 21.8 抓包方案
SSL Pining 问题解决方案
qq_39217312的博客
08-19 1927
为了能够更好的复现 SSL Pining 场景,我们对一个 App(https:app4.scrape.center)进行抓包,这个 App 包含了 SSL Pining 的相关设置,如果我们将手机的代理设置为抓包软件提供的代理服务,那么这个 App 在请求数据的时候检测出证书并不是受信任的证书,从而直接断开连接,不继续请求数据,相应的数据就会加载失败首先,在手机上安装这个App ,此时手机没有任何代理,可以发现数据是正常加载的接下来就是抓包了,我们还是以 Charles 为例。
App绕过SSL Pinning机制抓取Https请求
波~的博客
09-29 1752
VitualXposed框架+JustTrustMe模块 官网下载地址:https://vxposed.com/ 简单来说,VitualXposed可以在不需要设备root的情况下,修改App的行为。此应用的工作原理类似于应用分身功能,会将应用安装到一个虚拟独立的环境当中,其内部会自带一个已经激活了的Xposed工具。 JustTrustMe是Github上面的一个开源项目,是xposed中的一个模块,用于禁止SSL证书验证。 https://github.com/Fuzion24/JustTrustMe
app逆向抓包技巧:关于混淆后app无法绕过sslpinning的解决方案
九月镇灵将的博客
08-18 1348
app逆向抓包技巧:关于混淆后app无法绕过sslpinning的解决方案
【Android逆向】okhttp 证书绑定流程 ssl pinning分析
tx123hy的博客
12-31 1675
本次通过代码实现了 https 证书绑定也就是 ssl pinning。分析了 okhttp 的证书校验逻辑,其中 startHandshake 是一个hook点。在这时刻往下就是app中的证书校验逻辑。文章后半部分给出了证书校验的绕过逻辑,总体来说在 app 端的证书校验,使用 hook手段绕过。服务端的证书校验,是把 app 端的证书导入抓包工具解决,其中app端的证书定位与证书密码获取也是通过hook进行定位。文章很难面面俱到,如果有更多想要交流的可以来深入探讨一下哈 lvdouzhou_。
180724 安卓-SSLPinning及反制
whklhhhh的博客
07-25 4791
简介 SSL Pinning,即HTTPS的证书校验 作用 具体解释要从HTTPS的诞生说起了 HTTP是明文传输的协议,在C/S不自行做加密处理的情况下,所有数据都是以明文形式在网络中传输的。 而在目前的庞大互联网中,大多数情况下从Client到Server要经过十几级网关转发。 而这中间,小到自己家的路由器、大到运营商的区域转发都是可以任意查看通信数据甚至篡改通信数据的。 这...
锐捷客户端
09-25
锐捷客户端,一般校园网都是用的这个,上传一个方便大家用。。。。
如何使用SSL pinning来使你的iOS APP更加安全
rigous的博客
05-24 1280
原文链接:https://www.cnblogs.com/zhanggui/p/5754977.html如何使用SSL pinning来使你的iOS APP更加安全  SSL pinning在构建一个高度安全的移动APP上扮演了一个十分重要的角色。然而如今好多用户在使用无线移动设备去访问无数不安全的无线网络。  这篇文章主要覆盖了SSL pinning 技术,来帮助我们处理最常见的安全攻击--中间...
APP抓包,针对 SSLPinning反爬
weixin_30715523的博客
02-27 843
       最近,工作接触的都是抓取app的数据,但是我和我的小伙伴遇到了这样一个问题:在app抓包过程中,有部分app链接抓包工具直接没有网络,接下来我们就解决这个问题。 1.SSLPinning简介. 又叫证书绑定。客户端在收到服务器的证书后,对该证书进行强校验,验证该证书是不是客户端承认的证书,如果不是,则直接断开连接 2.VirtualXposed+justtrustme...
绕过 Android SSL Pinning
A_991128a的博客
12-28 1714
转载请注明出处。请前往 Tiga on Tech以及更多有趣的技术文章。SSL Pinning 指的是,对于 target sdk version > 23 的 Android AppApp 默认指信任系统的根证书或 App 内指定的证书,而不信任用户添加的第三方证书。
iOS SSL Pinning防止中间人攻击
AI架构师易筋
10-20 3504
系统: Mac OS 10.14.6, XCode 11,swift 5.0 写作时间:2019-10-18 说明 黑客攻击App,其中一种常用方式是绕过 SSL/TLS (Secure Sockets Layer/Transport Layer Security) 的加密方式。虽然SSL/TLS 的传输过程是加密的,但是还可能被中间人攻击。 注释:这个图是server 到 App单向的,实际上...
SSL_Pinning
weixin_30586257的博客
06-29 172
通过SSL Pinning提高iOS应用的安全性 - alvin hu 转载于:https://www.cnblogs.com/louyizhidu/p/9242082.html
APP开启SSLPinning后导致不能抓包解决方案
热门推荐
daiyu__zz的博客
04-26 1万+
什么是SSLPinningSSL Pinning是一种防止中间人攻击(MITM)的技术,主要机制是在客户端发起请求–>收到服务器发来的证书进行校验,如果收到的证书不被客户端信任,就直接断开连接不继续求情。 所以在遇到对关键请求开启SSL PinningAPP时,我们抓包就只能看到APP上提示无法连接网络或者请求失败之类的提示;而在抓包工具上面,要么就只能看到一排 CONNECT 请求,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值