通用技术 【fiddler】

闻武w · 2022年05月09日 · 最后由 mathildaxu 回复于 2022年05月16日 · 2890 次阅读

想请教一下各位大佬关于 fiddler 抓包的一些问题
1.app 抓包方面,问题是在于目前公司线上环境的抓不到包(执行访问动作后啥都没出现),网上的帖子基本都翻过了,证书啥的都下载了,app 线上就是抓不到,测试库正常抓取,询问过相关后台不知道原因
2.小程序抓包,抓到灰色带锁的,根据网上帖子勾选对应选项还是灰色的
相关图片在下方,如果有大佬解答感激不尽

共收到 11 条回复 时间 点赞

1、app 抓不到,有可能是客户端做了证书校验,问下相关开发
2、小程序没玩过,不清楚

这要取决开发开启了线上版本 的抓包权限,一般来说都是不允许的,自然就抓不了包

生产库是不是改成 https 协议啦

从截图看,生产环境走的是 https ,所以你只抓到了握手的请求,过程请求都抓不到。

这种情况下,要抓生产环境的请求,网上搜下怎么抓 https 包吧,一般两种方法。一种是抓包工具生成自己的 https 证书,并给手机系统里配置信任这个自定义证书(前提是 app 内部没有额外校验逻辑,安全性要求高的 app 内部会直接硬编码自家证书的校验逻辑,不是自家证书的都认为网络不安全不发起请求),另一种是找运维拿到线上 https 证书私钥,配置到抓包工具里。

PS:这个问服务端开发是不会知道的,因为这部分的核心逻辑在客户端

一般小程序也不需要抓吧,你直接在开发者工具中看就好了啊

安装信任证书什么的太复杂了,直接让运维设置防火墙,只允许公司 IP 可以访问 http 服务器即可

香吉士 回复

因为有些问题存在真机有时候开发工具复现不了😭

安卓的 debug 包可以修改一下代码,信任任何证书,就可以抓到 https 包了

闻武w 回复

需要装一个证书,Charles 装着挺简单的


勾上这个试试

安卓 7.0 之后就不能抓小程序的包了,可以退回到安卓 7 以前的版本,或者用鸿蒙系统(亲测可抓)

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册