以下內容為原創,歡迎轉載,轉載請注明
來自博客園:http://www.cnblogs.com/joey-hua/p/4971380.html
1.劫持https接口
很多android客戶端雖然使用了https,但還是能被第三方抓包工具如fiddler劫持,因為他們的代碼使用了諸如ALLOW_ALL_HOSTNAME_VERIFIER之類的方式允許任何證書。這樣的話可以使用fiddler自帶的證書偽裝服務端證書來獲取到中間通訊的數據。使用方法關鍵步驟:
下圖是劫持的工商銀行安卓版app數據:
紅框的是工行的接口,藍色文字表示抓到數據,具體數據就不發了,是我自己的賬號。綠色框的是我自己的服務端的接口,因為做了處理所以沒有被抓顯示的是灰色文字。上圖必須要用偽裝證書,否則直接抓取同一個接口也抓不到的。
2.解決方案
【文檔下載】