Charles介绍:
Charles是一款广泛使用的网络代理和监视工具,主要用于Web开发,它允许开发者查看所有与Internet以及所有网络请求和响应的数据。作为一个HTTP代理/HTTP监视器/反向代理,Charles能够让你查看网络中你机器和互联网之间的所有 HTTP 和 HTTPS / SSL 通信。这包括请求、响应和 HTTP 头部(包含cookies和缓存信息)。
为什么不能直接使用Burp Suite?(来自chatgpt4.0回答)
加密通讯:小程序的通讯往往使用HTTPS进行加密,而且平台(例如微信)可能会采用特殊的证书或加密机制。虽然Burp Suite可以作为中间人(Man-in-the-Middle, MitM)来解密HTTPS通信,但前提是必须要让客户端信任Burp Suite的根证书,这在小程序的环境中可能会有额外的复杂性或限制。
环境限制:小程序运行在它们各自的环境中(例如,微信小程序在微信环境中),这些环境对网络请求可能有特殊的处理或限制。例如,微信可能对SSL证书进行校验,不允许使用未经认证的证书,这就使得将Burp Suite的证书加入信任链变得更加困难。
平台安全策略:小程序平台可能采取了额外的安全措施来防止中间人攻击(MitM)或其他网络攻击。这些措施可能包括对证书固定(Certificate Pinning)或进行额外的包签名验证,这样即使流量被Burp Suite捕捉到,也很难进行解密或修改而不被检测到。
特定API的使用:小程序可能使用特定的API进行网络通信,这些API的行为可能与标准的Web请求有所不同,使得通过Burp Suite进行捕捉和分析变得复杂。
为什么使用夜神模拟器,而不是其他模拟器?
自我开始学习软件开发起,工作环境都是要求使用该模拟器,可能是底层某些东西不一样,我全盘吸取前人经验。
1、Charles证数安装操作:
1、Charles证数安装(想要让Charles抓到模拟器的包,就得让模拟器信任Charles,这个证书就是让它信任的通行证。)
Pc端安装证书
2、模拟器端安装证书:
证书命名随意,点击确定,就可以将证书安装成功了。
2、模拟器端代理工具
推荐这个v2rayNG代理工具(github上搜)(使用了这个代理工具代理,记得将前面wifi上高级选项中的代理关闭掉)。当然,有更好的代理工具可以在评论区留言。
看到-1ms,不用担心,因为这个代理软件测试延迟是以访问Google来测试的,就算显示联不通也不重要。
点击软件右下角的
打开代理。
Tips:如果在夜神模拟器使用过程中出现任何网络问题,重启模拟器即可,重启后记得再打开代理。
软件打开抓包:
打开想要抓包的小程序。
此时你可以看到Charles已经在抓包了。
3、Charles转发至burpsuite
Charles 提供了易于使用的界面和实时流量分析的功能,这对于高级网络调试和快速问题诊断非常有用。Burp Suite 提供了更进阶的安全测试功能,如自动化扫描、详尽的手动测试工具和攻击模拟。通过组合使用两者,可以把两个工具的优势结合起来。
打开Burp Suite设置。
打开Charles该界面:
俩种代理都要设置下代理服务器,就是Burp Suite的ip和端口。最后点击ok。
打开Burp Suite抓包,访问小程序,就能抓到小程序的包了。
有问题可以在评论区留言。第一次发文章,请嘴下留情。
请登录后查看评论内容