需求Android APP安全测试时,主要工作分为:APK安全业务安全APK安全这里不讨论,我说说业务安全,因为大部分的业务校验逻辑还是放在Servier端,这里就会涉及到网络通信了。因此网络抓包是测试的根本,一般APP都会采用HTTP协议、Websocket、Socket协议。其中HTTP协议的最多,Websocket是后起之秀,Socket最少。针对HTTP和Websocket,Burp Su
转载
2023-08-13 08:33:23
564阅读
1. HTTPS的定义说道HTTPS,不得不提HTTP,HTTP最大的缺陷就是明文传输,数据传输过程中很容易被篡改,所以美国网景公司提出来HTTPS协议,相对HTTP,HTTPS多了一个S,这个S,其实就是SSL/TSL,SSL全称安全套接字层,TSL1.0(传输层安全协议)是SSL3.0的升级版,是用于服务器和客户端加密通信的,所以可以认为两者是同一种协议,SSL因为自身的不安全性,在Andro
转载
2024-06-10 08:21:07
95阅读
目前很多的APP在安全防控这块都相对于比较薄弱,从而导致存在很多安全隐患和事故,今天我们从以下几个方面来聊聊开发人员平时怎么做才更安全。一、网络Charles抓包工具,App开发者可能不会陌生,通常开发者在与后台接口联调的时候可通过设置代理抓取手机通信接口的数据。用Charles可以获取http的所有明文数据,配置好它的证书后就可以模拟中间人攻击,获取https加密前的明文数据。1.1 中间人攻击
转载
2024-01-03 13:16:54
949阅读
Android Charles 证书固定最近在做公司的接口全部换上了https,我们的应用也随之进行了升级,接入https。但是在使用charles进行接口抓包调试的时候就出现了一些问题。我的计划是既要能使我们的app在release和debug下都能进行charles抓包调试定位问题,还要能有效的防止其他人对应用进行抓包获取数据。网络安全性配置网络安全性配置是Android官方推荐的配置方案。
转载
2023-12-09 12:58:16
119阅读
最近在调试一个bug的时候没有其它好的办法了,用到了抓包这么个方式才发现问题,不过问题已经解决了不过在抓包的时候突然想到了,我擦,我用的https也可以被抓到包啊。所以又看了一下https的链接建立的流程和相关的中间人攻击的流程,想了一下其中的原理。首先介绍一下在https建立的过程中是如何被中间人抓到包的吧,前提是如果不熟悉https建立连接的过程,先看一下相关资料再接着看本文1.客户端首先要向
转载
2024-05-19 10:51:15
54阅读
前言 文章目录前言库文件静态库的生成hello.hhello.cmain.c动态库的生成GCC命令相同时,会先执行.a文件,还是会先执行.so文件?静态库与动态库的区别使用静态库的使用动态库的使用总结 本文主要讲解了静态库和动态库的生成,以及.o文件和.so文件的使用。 库文件库是一组预先编译好的方法的集合,是计算机上的一类文件,提供给使用者一些开箱即用的变量、函数或类。库文件分为静态库和动态库
https 可以抓包吗HTTPS 的数据是加密的,常规下抓包工具代理请求后抓到的包内容是加密状态,无法直接查看。但是,我们可以通过抓包工具来抓包。它的原理其实是模拟一个中间人。通常 HTTPS 抓包工具的使用方法是会生成一个证书,用户需要手动把证书安装到客户端中,然后终端发起的所有请求通过该证书完成与抓包工具的交互,然后抓包工具再转发请求到服务器,最后把服务器返回的结果在控制台输出后再返回给终端,
转载
2023-07-25 16:20:56
84阅读
转载
2023-07-04 23:16:37
102阅读
在Android开发中,防止调用共享库(即.so文件)的技术需求经常出现。这可能是因为安全原因、版权保护或者防止逆向工程等。在这篇博文中,我们将探讨如何解决“Android so 防止调用”的问题,涵盖从环境准备到实战应用的各个方面。
## 环境准备
在开始之前,我们需要确保开发环境的兼容性。以下是我们所需的技术栈,以及它们在项目中的匹配度。
```mermaid
quadrantChart
最近在学习Python代码中的socket和抓包工具wireshark,故又将socket等概念又学习了一遍,温故而知新:Python代码如下: server: #!/usr/bin/python
# -*- coding: UTF-8 -*-
# 文件名:server.py
import socket # 导入 socket 模块
s = socket.sock
转载
2023-08-06 22:40:19
321阅读
针对Java易遭受逆向工程***的原因,本周SafeNet博客将向大家介绍目前市场上关于防止Java免受逆向工程***的集中措施,同时指出这几种措施在防范逆向工程***的时候存在的不足之处。首先是板载措施,它并不足以防止逆向工程。大多数虚拟机都包含一些使逆向工程复杂化的功能。Java允许用户在JAR存档中提供的每个类上设置一个数字证书,以确保原始文件没有被更改。虽然这样做并无害处,但该功能相当容易
转载
2023-09-25 10:53:28
176阅读
# 使用HTTPS防止请求被抓包
在Java中,我们可以通过使用HTTPS(HTTP Secure)协议来防止请求被抓包。HTTPS使用了SSL/TLS协议对HTTP进行了加密,从而确保了数据传输的安全性。
## 1. 生成证书
首先,我们需要生成一个自签名的证书,用于在服务器和客户端之间建立加密连接。
```bash
keytool -genkeypair -alias mycert -
原创
2024-01-17 10:13:20
408阅读
简介Mitmproxy是一个使用python编写的中间人代理工具,跟Fiddle、Charles等等的抓包工具是差不多的,同样可以用于拦截、修改、保存http/https请求。比起Fiddle、Charles,mitmproxy有一个最大的特点是支持python自定义脚本。安装Win官网下载windows安装包:https://mitmproxy.org/#mitmproxyMac使用homebr
转载
2024-09-30 10:33:19
94阅读
什么是TCPTCP(Transmission Control Protocol传输控制协议)是一种面向连接的,可靠的,基于字节流的传输通信协议。
1、tcp(Transmission Control Protocol传输控制协议)
2、传输层协议
3、原因:应用层需要可靠的连接,但是IP层没有这样的流机制
4、面向连接,即在客户端和服务器之间发送数据之间,必须先建立连接5、位于应用层和IP层之间
# 安卓防抓包 So 实现指南
## 1. 引言
在移动应用开发中,保护应用的数据安全尤为重要。特别是在安卓开发中,使用网络传输的数据可能会被黑客拦截和篡改,导致隐私泄露或数据安全问题。为了防止这种情况,我们可以通过防抓包的技术来加固我们的应用。本文将详细介绍如何在安卓应用中实现防抓包措施,包括具体步骤和代码示例。
## 2. 流程概述
防抓包的实施可以分为以下几个步骤:
| 阶段
原创
2024-09-10 05:28:20
70阅读
文章目录一. 抓包注意细节二. 抓包几种方法三. 抓包经验四. 总结 一. 抓包注意细节1、确定手机信任了证书,而且证书是放在系统目录2、确认手机时间是当前时间3、移动证书到根目录用magisk的move certificates模块挺方便二. 抓包几种方法1、手机设置代理burp正常抓包2、手机转发流量,burp设置透明代理抓包3、linux下共享无线,流量转发,mitm抓包4、httpcan
抓包工具CharlesFiddlerCharles使用下载PC端安装Charles根证书 help–>SSLProxying–>Install Charles Root Ceriticate安装Charles根证书到手机 help–>SSLProxying–>Install Charles Root Ceriticate on a Mobile Device or Remo
为了抓包某app,我折腾了10天,原来他是用SSL Pinning防抓包的为了抓包某app,我折腾了10天,原来他是用SSL Pinning防抓包的艺灵艺灵一枚切图仔~267 人赞同了该文章对于我的情况,简单做下说明:本人只是一个打杂的小前端,对于抓包,多数是出于好奇而已,所以我并没有太多专业的抓包经验和各种逆向绕过技术。本文最后在某逆向大神的指点下才成功抓包,但文章中的观点或看法并不一定正确,看
现在做过几个web项目,都用到了api,有服务器发往服务器的api,也有微信上从前端发往后端的api。然后,我在使用 Pycharm 断点时发现,如果在断点暂停时一直发送请求,那么很多请求都能执行成功。然后在不断点的正常情况下,我又使用 Charles 重复发送请求,并发设置为10,一共发100个,也有10几个请求成功了。前端向后端发送请求我知道csrf_token可以防止跨站攻击,但如果现在是一
转载
2023-09-10 11:12:06
149阅读
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。最近工作中遇到一些比较奇葩的App,一边测试一边搜集整理出了比较全的姿势。如有错误之处,还请各位师傅多多指教。1不走代理的APP如何判断:连接Fiddler代理-->抓不到包-->关闭Fiddler后正常通信。
转载
2023-12-19 05:42:05
109阅读
