经过两周的角逐，2021 年度 OSC 中国开源项目评选第一轮投票已结束。 本次评选对「组织」和「个人」的开源项目进行了区分，并针对「组织」通道的项目设置了 7 大分类：基础软件、云原生、大前端、DevOps、开发框架与工具、AI & 大数据、IoT & 5G 。 第一轮投票根据票数选出「组织」项目 7 大分类中每个分类的 TOP 5，以及「个人」项目的 TOP 15，总共 50 个项目获得「OSCHINA 人气指数 TOP 50 开源项目」称号。 「组织」通道获奖项目（35 个） 「个人」通道获奖项目（15 个） 恭喜以上项目获得「OSCHINA 人气指数 TOP 50 开源项目」称号，它们将继续参与第二轮投票环节以争夺「最受欢迎项目」奖项，欢迎大家前来投票支持 ↓↓↓ https://www.oschina.net/project/top_cn_2021   from:https://www.oschina.net/question/2918182_2324736

1 前言 这篇文章主要想解决的问题是，在对安卓手机APP抓包时，出现的HTTPS报文通过MITM代理后证书不被信任的问题。（工作中在抓取12306请求时就遇到了这个问题） 之前的推送讲过，通常要抓取HTTPS加密的数据包，一般使用Charles或者Fiddler4代理HTTP请求，配置证书信任后，便可拿到明文报文。但是由于Charles证书和Fiddler证书并非证书机构颁发的目标站点的合法证书，所以会不被信任。同样的道理，之前说过的神器Packet Capture也存在该问题。 对使用Charles等工具进行中间人代理抓取HTTPS请求不会的请看之前的推送： 阅读下文来解决这个问题。 2 解决方案 要解决这个问题要使用的工具是：Xposed+JustTrustMe （安卓手机需要Root，该方法有手机变砖风险，建议在模拟器下操作） XposedInstaller(xposed框架)是一款可以在不修改APK的情况下影响程序运行（修改系统）的框架服务，基于它可以制作出许多功能强大的模块，且在功能不冲突的情况下同时运作。 JustTrustMe是Github上的一个开源工程，他是一个Xposed模块，用来禁止SSL证书验证。以下是其简介。 JustTrustMe：An xposed module that disables SSL certificate checking. This is useful for auditing an appplication which does certificate pinning. Xposed安装器下载地址 安卓5.0版本以下下载地址：https://pan.baidu.com/s/1dEToAvJ 密码:uiu8 安卓5.0版本以上下载地址：https://files.cnblogs.com/files/pingming/xposedinstaller.apk JustTrustMe Relese版本下载地址：https://files.cnblogs.com/files/pingming/JustTrustMe.apk    github：https://github.com/Fuzion24/JustTrustMe/releases 以下是安装步骤： 1  安装Xposed安装器 2  安装Xposed框架 安装过程需要Root权限，完成后重启。 3  安装JustTrustMe 4  安装完成后打开模块选项 勾选JustTrustMe，重启即可。 至此，完成配置，再加上之前的Charles或者Fiddler4的HTTPS配置，就能抓取HTTPS请求了。 3 最后 最后再强调一次，安装Xposed是有风险的，请尽量在模拟器中操作。 文中的Xposed下载链接主要是针对于安卓5.0以下的机器，是在夜神模拟器安卓4.4版本测试通过，其他版本使用大同小异，请自行查找合适版本安装使用。   from:https://www.cnblogs.com/pingming/p/10846068.html

原博客地址：https://www.52pojie.cn/thread-967606-1-1.html 抓包的重要性 网络抓包，是Android应用逆向分析的重中之重，很多时候我们拿到一个APP，不知道从何入手分析，往往是从抓包开始，先弄清楚他与服务器通信的内容，如果一目了然，我们完全可以照搬，自行写一个程序来模拟，如果有一些加密字段和随机字段，也不用担心，我们可以从抓包中了解到一些关键的URL和session之类的信息，然后再反编译分析代码的时候，这些字符串可以帮助我们更快的定位关键代码所在之处。 Fiddler的使用 Fiddler简直是HTTP抓包分析的神器，比Chrome等浏览器自带的调试工具高不知道哪去了，浏览器自带的调试工具，基本只能查看包内容，而Fiddler除了查看，还可以针对不同类型的内容进行格式化，观赏效果真的不要太爽。除了“看”数据包，它还可以一键重发HTTP请求，修改请求内容并重发HTTP请求，拦截修改数据包，返回预设的欺骗性内容等，还可以编写脚本进行更高级的自动化处理。 废话不多说，到Fiddler官网下载安装：https://www.telerik.com/fiddler 接下来，我们要开启Fiddler的HTTPS抓包功能，否则只能看到HTTP请求的内容，而HTTPS请求则是密文。 在Fiddler中点击 [Tools] — [Options] — [HTTPS] 勾选如下设置： 然后在 [Connections] 选项卡中勾选 [Allow remote computers to connect]，我们知道Fiddler默认在8888端口开启HTTP/HTTPS代{过}{滤}理服务，不管是Android、IPhone还是PC等等设备和程序，只要设置了HTTP/HTTPS代{过}{滤}理，流量从Fiddler走，就可以抓包分析。此处开启远程访问，使得我们的Android/Iphone手机可以在WLAN设置上设置它为HTTP/HTTPS代{过}{滤}理，从而手机上的应用的HTTP/HTTPS流量将从Fiddler走，Fiddler就能捕获它们。 然后确保手机和PC在同一个局域网中，然后在手机上设置WLAN代{过}{滤}理，此处我的PC内网IP地址是192.168.1.100，你需要根据自己的情况进行设置： 然后我们在手机浏览器中打开http://192.168.1.100:8888 下载Fiddler根证书并安装 这是Fiddler解密HTTPS通信的关键，Fiddler对HTTPS包解密的原理是中间人攻击，对客户端声称自己的服务端，对服务端声称自己的客户端，两头欺骗。当然要想欺骗成功，前提是让客户端信任自己的根证书，接下来就可以愉快的观看HTTPS请求明文内容了。   畅快的抓包 Fiddler这个抓包方法，不仅对Android有用，对IPhone也有用。接下来在手机上，无论是打开浏览器，打开手机上的应用，应用内嵌的WebView，我们都可以在Fiddler中看到HTTP/HTTPS请求内容，但细心查看就会发现，还是有的HTTP包装不到。一般能抓到包的几种情况： Android内置浏览器 应用内置WebView 应用使用URLConnection或OkHttp发起HTTP请求 抓不到包，很可能目标APP使用了其它HTTP Client，比如自带一个libcurl的so，那样最终调用的是系统的Socket API，WLAN上设置的HTTP/HTTPS代{过}{滤}理对它无效，但其实这种情况很少，市面上绝大多数的应用，都是使用URLConnection和OkHttp，尤其是近些年的应用，几乎都是清一色的OkHttp，所以绝大多数情况下都能抓到包，如果抓不到，很可能是应用自己进行了额外的SSL证书校验工作，根据情况再特殊分析特殊处理。 注意！Android7.0以后抓包失败 以前我一直都是在Android5.1的手机上抓包分析应用，屡试不爽，但是近来使用Android7.1和Android8.1的手机，发现按照上面设置以后，尽管向Android导入了Fiddler的根证书，还是没法抓到HTTPS包的内容。 以 [云闪付] 为例，具体表现为APP中的WebView无法打开内容，和网络断开了一般，Fiddler中可以看到大量的CONNECT然后就没有下文了。   回顾之前我们总结的Fiddler抓不到包的原因 《Windows抓包指南(二)：Fiddler抓不到的包是怎么回事？》可以猜想，很可能在Android7.0以及以后的版本，即便是导入了Fiddler根证书，但是APP的URLConnection、OkHttp、WebView，仍然不信任系统中导入的Fiddler根证书。 验证猜想 自行编写Android应用，分别使用URLConnection、OkHttp发起HTTPS请求，用WebView打开HTTPS的网页，看看出了什么错误。

  运行后果然抛出了异常： javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValIDAtorException: Trust anchor for certification path not found. 不出所料，和我们之前在Windows上分析的情况一样，客户端并不信任我们导入系统的Fiddler根证书，那为什么在Android6.0及以前能正常工作呢？经过查阅资料，这个改动果然是从Android7.0开始的。 查看Android官方文档说明：https://developer.android.com/training/articles/security-config.html By default, secure connections (using protocols like TLS and HTTPS) from all apps trust the pre-installed system CAs, and apps targeting Android 6.0 (API level 23) and lower also trust […]