https请求的抓包方法.doc

对于https协议的接口的抓包方法1、 使用fiddler1. 使用fiddler对浏览器访问的https接口抓包默认设置下的fiddler是不能解密https协议的请求的内容的，在fiddler上抓到的https协议的请求都是如下图所示，但是看不到其中的传参以及返回结果的内容：如果想要用fiddler抓到浏览器访问的https接口，需要在fiddler做如下设置：a) 进入菜单栏，Tools-Fiddler Options：b) 切换到https选项卡，勾选如下选项：c) 按照上面步骤勾选后，会弹出如下提示框，提示意思大概就是fiddler会生成一个唯一的根证书，我们要配置Windows，使Windows信任这个CA证书，所以点击Yes即可：d) 点击Yes之后，Windows会马上弹出下面的弹窗，我们点击“是”，就能将DO_NOT_TRUST_FiddlerRoot这个由fiddler生成的CA证书导入到浏览器，也就完成了上面C步骤所述的配置Windows，使Windows信任这个CA证书的步骤：完成了上面的配置后，即可以在浏览器发起一个https协议的请求：此时可以在fiddler抓到这个请求，并能看到传参内容和返回的内容返回的内容：2. 使用fiddler对app访问的https接口抓包首先要先在fiddler进行设置，步骤与上面的一样，但是不用导入证书到浏览器，这里不再赘述。Android：要使用fiddler抓到app发出的https请求，需要在app端安装fiddler生成的CA证书，在Android的app端安装fiddler生成的CA证书步骤如下：a) 设置手机代理服务器，代理到自己的电脑：b) 使用手机内置浏览器访问代理服务器地址：c) 点击这里：d) 此时会弹出安装证书的提示，要先命名证书：-e) 点击确定后，系统还会提示要求设置屏幕锁屏密码，以策安全，按照系统提示一步一步做就行。完成证书安装后，在app发起https协议的请求，可以看到fiddler能抓到请求，并能看到传参和返回的内容。需要注意的是，每条https请求之前都仍然会有Tunnel to :443的请求出现，这个是https数据传输前的握手过程。f) 安装证书后，如果要删除，则进入系统设置-个人-安全中，点击清除凭据，则可进行删除。iOS：iOS也可以通过浏览器访问来安装fiddler的证书。a) 首先设置代理服务器，代理到自己的电脑：b) 使用safari访问代理服务器地址：c) 点击”FiddlerRoot certificate”，会弹出如下窗口，此时我们安装这个证书即可：d) 完成证书安装后，在app发起https协议的请求，可以看到fiddler能抓到请求，并能看到传参和返回的内容。e) 安装证书后，如果要删除，则进入设置-通用-描述文件中，删除描述文件即可。-2、 使用Charles1. 使用charles对浏览器访问的https接口抓包首先要安装3.10版本以上的Charles。Charles对https抓包的原理和fiddler是一样的，Charles作为代理，先与客户端之间建立一个https连接，代理获得请求（解密）后，再与目标服务器之间又建立一个https连接，所以用Charles抓包也是需要先在浏览器导入一个证书。导入证书操作步骤如下：a) 进入菜单栏，Help-SSL Proxying-Install Charles Root Certificate：b) 此时会有如下提示，点击“安装证书”，然后按照证书向导一步一步进行操作，即可安装成功。完成了证书的导入：c) Charles也要做相应的配置，进入Proxy-SSL Proxying Settings：d) 在SSL Proxying Settings中勾选Enable SSL Proxying，并在Locations中输入要抓取的url的host和端口号：e) 完成以上配置之后，在浏览器发起一个https的请求，可以在Charles看到相应的抓包解密结果：2. 使用Charles对app访问的https接口抓包要先在Charles进行设置，步骤与上面的一样，不再赘述。Android：以下方法对3.10版本及以上的Charles有效。要使用Charles抓到app发出的https请求，需要在app端安装Charles的CA证书，在Android的app端安装Charles生成的CA证书步骤如下：a) 设置手机代理服务器，代理到自己的电脑：b) 用手机内置浏览器访问以下url：/getssl，此时会下载证书并弹出安装提示，要先命名证书：-c) 点击确定后，系统还会提示要求设置屏幕锁屏密码，按照系统提示一