正文
1 SSL 证书双向校验
2 app 配置忽略系统代理
app 配置忽略系统代理
原理
Android 跳过系统代理防止被抓包采集
https://blog.csdn.net/seoyundu/article/details/88112684
近期自家公司企业号app被抓包严重,想了一下是不是有可以清除系统代理的方法,系统代理肯定是跟系统配置有关后面试着打印了一下SystemProperty(字段太多不黏贴出来了)
发现这几个字段跟代理有关系 http.proxyHost,http.proxyPort,https.proxyHost,https.proxyPort。然后试着用System.clearProperty来清除配置看能不能跳过系统代理。
System.clearProperty("http.proxyHost");
System.clearProperty("http.proxyPort");
System.clearProperty("https.proxyHost");
System.clearProperty("https.proxyPort");
注意!有些 app 还可能出现更奇怪的情况,部分功能网络流量走系统代理,部分功能网络流量不走系统代理。
比如支付类功能网络流量不走系统代理,其他功能流量走系统代理。
绕过
iOS 使用 Shadowrocket ,路由设置为全局代理,将 burp 设置为 HTTP 代理。
安卓可以考虑使用 ProxyDroid/Redsocks/Drony 。
总结
一般 Android 抓不到包,会去尝试用 iOS 系统抓包。这次直接两个平台都抓不到包,还是挺少见的,但预感后面还会碰到一样的情况。用这种方式处理就行。
参考资料
1 https://mobile-security.gitbook.io/mobile-security-testing-guide/general-mobile-app-testing-guide/0x04f-testing-network-communication
2 https://www.cnblogs.com/lulianqi/p/11380794.html
作者:Neurohazard,来源:http://wp.blkstone.me/
扫描关注乌雲安全
觉得不错点个“赞”、“在看”哦
本文始发于微信公众号(乌雲安全):App 抓不到 HTTP 包的可能原因
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论