• Charles系列二:Charles PC端和手机端抓取HTTP和HTTPS协议请求、HTTPS通用抓包规则


    一:HTTP和HTTPS的区别

      HTTP是超文本传输协议,被用在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,因此HTTP协议不适合传输一些敏感信息,如:信用卡号,密码等支付信息。为了保证这些隐私数据能加密传输,于是网景公司设计了SSL用于对HTTP协议传输的数据进行加密,从而诞生了HTTPS。

      两者主要区别:

        1.https协议需要到CA申请证书,一般免费证书较少,因而需要一定费用。个人网站、小网站没有必要用。

        2.http是超文本传输协议,信息是明文传输,https则是具有安全性的SSL加密传输协议(https也不是绝对的安全,在黑客攻击,拒绝服务攻击,服务器劫持等方面几乎不起作用,最关键的SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样即可)。

        3.http和https使用的是完全不同的连接方式,用的端口也不一样,http是80,https是443。

        4.https的连接很简单,是无状态的,https协议是SSL+HTTP协议构建的可进行加密传输,身份认证的网络协议。

        5.https连接缓存不如http高效,会增加数据开销和功耗,甚至已有的安全措施也因此会受到影响。

        6.https协议握手阶段比较费时。

    二:Charles PC端截取HTTP和HTTPS协议请求(抓包实战)

          抓包前注意事项:

      

      

       

       抓包步骤:

      1.首选保证Charles开启,其它你想抓包的工具也开启,之后找到Charles的Proxy选项中的Start Recoding选项和Windows Proxy(mac电脑的是macOS Proxy),在进行测试的过程中发现不管我的win电脑勾选不勾选Windows Proxy,都可以抓取电脑上的包,经过跟几个搞测试的朋友交流,他们的都是正常的,所以少数服从多数,按不勾选Windows Proxy只能抓取手机上app的包,电脑上的包抓取不到。经过测试苹果电脑不勾选macOS Proxy的情况下是不能抓取电脑上的包的,勾选后就可以了。

      

      2.用浏览器打开你想要截取的网址

      

      3.对于HTTPS协议出现的中文乱码,Charles在电脑端安装charles ca证书,之后修改菜单项Proxy中Proxy Settings 和SSL Proxying Settings...选项,否则即使安装了charles ca证书依然不能正常显示

      下图为win电脑安装charles ca证书

      

      下图为苹果电脑安装charles ca证书

      

      

      

    三:Charles 手机端(安卓,苹果机没有,以后补上)截取HTTP和HTTPS协议请求(包含手机端小程序抓包)

      1.Charles想要抓取手机上的包,就要进行一些配置,首先查看Charles所在电脑的ip,两种方式可以

      方式1:

                  

      方式2:

        

      2.查看Charles的端口号,找到Proxy选项,选中Proxy Settings可以看到默认是:8888

      

      

      3.手机打开同一局域网下最好同网段(有些是同一局域网但是不在同一个网段,比如我的win是台式的,插的网线,手机是连的公司一个路由器的wifi,结果就连不上抓不了包,无奈我就用了苹果电脑跟手机连同一个wifi,一下就连上去了),设置手动代理,输入电脑的ip和Charles的端口号。结束后不要忘记更改手机代理,否则手机无法正常上网。

      

      

           

      4.安卓(vivoX6)手机端安装charles ca证书(前提条件是电脑端也要安装charles ca证书),首选根据charles中help选项中的提示,用手机浏览器(本人手机上选用的是uc浏览器),打开chls.pro/ssl (手机设置了charles代理,否则打开的网址提示错误)。下载后是pem文件,不能被我的手机识别安装,所以我就更改了后缀名.crt文件,安装后,由于不被信任,抓取的https协议的依然提示unknown,经过上网查找,问题没有解决。同事的小米华为手机都ok。

      

    四:Charles HTTPS协议通用抓包配置规则

      在上面我们讲到要想抓取某个https协议的内容,在SSL Proxy Settings选项里面添加某个https协议的网址和端口号即可,但是这样可能会有点麻烦,要想截取所有的https协议怎么办?看下图(手机端电脑端通用)

      

  • 相关阅读:
    配置管理puppet
    ruby安装
    angularjs 安装篇
    idea 快捷键
    rabbitmq java queue
    spring cloud bus rabbitmq
    rabbitmq 安装篇
    spring cloud eureka
    spring cloud config
    postgre 导入sql文件
  • 原文地址:https://www.cnblogs.com/ttxcs/p/11280645.html
Copyright © 2020-2023  润新知