谁抓包过咸鱼的 app

阿里系 APP 自带一个简单的反抓包，你可以看看我之前写的应对这种问题的方案，https://zhuanlan.zhihu.com/p/46433599。不过其实你抓到包也没啥用，阿里系 APP 有个通用的加密头，代码混淆了几百层调用，想破解出参数的加密方式很掉头发。

ssl-pinning?

对于没有使用 SSL pinning 技术的 HTTPS 请求，直接安装证书，然后使用 fiddler 抓包或直接使用 packet capture 抓包就行。使用 SSL pinning 技术的，可以使用 AndroidKiller 反编译 apk，然后修改 smali 代码，去掉 SSL pinning 证书验证。Twitter 就是使用了 SSL pinning 技术，而且默认传输协议是 SPDY，只有当 SPDY 不可用是，才会使用 HTTPS，可以修改 Twitter 反编译的 smali 代码，让它使用 HTTPS 协议，然后去掉 SSL pinning 证书验证。

对了，还有一个问题，有的 App 不使用系统代理，就是你在系统代理设置中设置了代理的话，App 会忽略掉。像这样的 App 不能使用 fiddler 抓包，估计只能使用 packet capture 抓包

阿里集团安全部两千人。对外是这样宣传的。。还有各个公司自有的安全团队。。兄弟，走好。铁窗泪。

我这边可以。有需要可以联系我 qq 348⑤31171

主要是破解 xsign 算法

@linhua 如果我使用的是 IOS 系统 好像 没有 packet capture 吧

@locoz 你那个知乎链接挂了

@Ewig #9 没打空格隔开后面的部分也被当成 url 的一部分了，手动复制出这个就行了。。https://zhuanlan.zhihu.com/p/46433599

@linhua

1. app 可以不走系统代理, 那么手机内的 app 比如 iOS 下的`Thor`/安卓下的`package capture`的代理也会绕过吗?
2. ssl-pinning 的 app 抓包, 会阻断 app 的请求吗? 会导致 app 页面获取不到数据, app 的请求发送不到服务器吗?

关于问题 2:
MiTM 返回一个 bad CA 给客户端, 客户端验证不通过会怎么处理? https 建立连接失败? 所以放弃本次请求? 那么有些文章说抓包工具显示请求乱码, 那么说明请求已经发送出去了.

@FaiChou
1. 以 vpn 方式设置的，是自己在应用层手动实现的代理，不会绕过
2. 会，因为证书错误 导致 https 不能通信

现在 HTTPS 的抓包都是使用 MITM 的方式，packet capture 也是这样，所以客户端要手动信任 它们的证书。
验证不通过，肯定是建立连接失败，本次请求结束。 可能捕获到的乱码的包，只是请求证书时，发送的一些包。

@linhua 谢谢回复.

和我猜想的一致, 但是和现实抓包现象有点冲突.

昨晚我尝试抓去阿里系某 app 的数据(仅用作学习), 点击按钮后跳转到列表页面, 我想抓取列表页面的 api 请求, 但是在我用的工具(ios, Thor 和 HTTPCatcher)中没有找到此请求, 都是在请求一些无所谓的数据, 甚至还经常会出现 baidu/bing 这样的请求, 唯一找到的有用数据是一些 auth 数据和 http://xxx.com/path.json 文件, json 文件可以看出页面像是用 weex 写的, 但是页面内的数据在请求里都看不见. 所以该怎么解释呢?