如题,我用 Charles 和 Burp suite 两款软件抓包,无论是 http 还是 https 的请求都无法抓到。试了 Android 和 iOS 的支付宝客户端都不行。
但是用 wireshark 就可以抓到,而且惊讶的发现请求居然是 http 的,不是 https ,也不是想象中的 tcp 或 ssl+加密数据直接通信。
如下图所示:
可以看到它用两个请求上传了扫到的图片,在服务端判断是否有『福』字:
但是 Charles 和 Burp 来抓就是一片安静,一个请求都抓不到。
( Charles 和 Burp 都是开代理来抓包的,而 wireshark 是开热点监听抓的,不知道是不是这个缘故……)
我的困惑就是:
既然是 http 协议,为什么支持抓 http 协议的软件 Charles 、 Burp suite 都无法抓到?
是如何做到让客户端发出的请求,不被一般的 http 抓包软件抓到的?
1
GordianZ MOD 知乎图片不能外链。
|
2
virusdefender 2017-01-19 10:46:40 +08:00 1
知乎上回答你了。 app 可以决定是否使用代理的。
|
3
lxy 2017-01-19 10:54:15 +08:00 1
安卓手机设置网络代理的时候应该有类似提示: HTTP 代理浏览器可用,但可能对其他应用程序不可用
|
4
DoraJDJ 2017-01-19 11:15:56 +08:00 via Android
应用基本上不可能会跟着 HTTP 代理走
之前抓 B 站客户端的时候也是一样,最后自己开热点用 Wireshark 才能抓到 不过抓 HTTPS 请求很麻烦... |
5
VYSE 2017-01-19 12:29:45 +08:00
用 PROXYDROID 全局 SOCK5 代理
|
6
paradoxs 2017-01-19 13:12:04 +08:00
你开全局代理,你的 terminal 也会自动进代理呀。
|
7
paradoxs 2017-01-19 13:12:14 +08:00
你开全局代理,你的 terminal 也 不 会自动进代理呀。
|
9
cyhhao OP @virusdefender 原来如此,感谢
|
11
changwei 2017-01-19 19:02:46 +08:00 via Android
其实我更关心楼主是否研究出了原理,这个扫描福字可不可以作假
|