知识点:
1、抓包技术-Web应用-http/s-Burp&Yakit
2、抓包技术-APP应用-http/s-Burp&Yakit
3、抓包技术-PC端应用-http/s-Burp&Yakit
4、抓包技术-WX小程序-http/s-Burp&Yakit
5、抓包技术-软件联动-http/s-Proxifier
6、抓包技术-通用方案-http/s-ReqableApi
BurpSuite:
是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。
Reqable:
https://reqable.com/
是一款跨平台的专业 HTTP 开发和调试工具,在全平台支持 HTTP1、HTTP2 和 HTTP3(QUIC)协议,简单易用、功能强大、性能高效,助力程序开发和测试人员提高生产力!说白了,他就是抓包工具 + Postman的合体,既可以抓包,又可以测试接口。
Yakit:
https://www.yaklang.com
Yakit 是一个基于 Yak 语言的安全领域垂直语言工具,它提供了一个图形化用户界面(GUI)来操控 Yak 引擎的能力。Yakit 旨在降低使用安全工具的门槛,使得安全从业者即使没有编程技能也能轻松地进行安全测试和分析。
Proxifier:
一款功能强大的网络代理工具,它可以让你将网络应用程序通过代理服务器进行连接。它提供了一个简单而灵活的方式,让你能够将任何应用程序的网络流量路由到指定的代理服务器上,从而实现匿名浏览、绕过网络封锁、访问受限网站等功能。
准备工作
1、本地浏览器安装证书:解决本地抓HTTPS
注:本地装证书一定要装在受信任和中间两个选项里面
burp
yakit
2、模拟器安装证书:解决模拟器抓HTTPS
burp
yakit
跟Burp证书安装方式一样,记得把crt后缀改为cer就行。
3、手机安装证书:解决手机抓HTTPS
跟模拟器方式安装一样
演示案例-抓包技术-Web&App&小程序&PC应用&软件联动-Burp&Yakit&Reqable&Proxifier
Burp
WEB
微信小程序
APP应用
1、无防护-模拟器直接抓包
2、有防护-真机绕过&更改模拟器内核&反编译APP(删除校验代码后重新打包)
注意:真机抓包要保证手机和电脑在同一网络
3、有防护-证书绕过&代理绕过
PC端应用
1、有代理设置走代理设置
2、没有代理设置走联动转发
yakit
WEB
微信小程序
APP应用
Reqable
WEB
微信小程序
APP应用
