Android App 防止抓包

最新推荐文章于 2025-07-02 15:36:34 发布
最新推荐文章于 2025-07-02 15:36:34 发布
阅读量6.6k 收藏 21
点赞数 3
CC 4.0 BY-SA版权
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luoshufeng1234/article/details/124291860

这篇文章谈谈如何防止 App 被抓包

首先我们要知道常用的抓包方式有 Charles 和 Fiddler。他们通过在手机网络中添加代理的方式,拿到 App 的请求。

如果是 Https 连接的话,我们要先在手机中添加 Charles或Fiddler 的证书,然后Charles通过修改服务器发送证书链,让手机信任Charles 的证书,从而拿到 App 的请求。

下面是一些对策:

一、使用无代理 Proxy.NO_PROXY

charles 和 fiddler 都使用代理来进行抓包,对网络客户端使用无代理模式即可防止抓包,如

OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()

通常情况下上述的办法有用,但是无法防住使用 VPN 导流进行的抓包( Drony + Charles)

使用VPN抓包的原理是,先将手机请求导到VPN,再对VPN的网络进行Charles的代理,绕过了对App的代理。

下面是对策:

二、使用证书校验

这种方式要在app嵌入证书,以okhttp为例:

当okhttp使用X509TrustManager对服务器证书进行校验时,如果服务器证书的 subjectDN 和嵌入证书的 subjectDN 一致,我们再进行签名内容 signature 的比对,如果不一致,抛出异常。示例代码如下:

  1. 首先从本地读出证书,获取一个X509Certificate

val myCrt: X509Certificate by lazy {
    getCrt(R.raw.my_ca)
}

private fun getCrt(@RawRes raw: Int): X509Certificate {
    val certificateFactory = CertificateFactory.getInstance("X.509")
    val input = ApplicationContext.resources.openRawResource(raw)
    input.use {
        return certificateFactory.generateCertificate(input) as X509Certificate
    }
}
  1. 检查服务器证书时对比嵌入的证书

private fun getTrustManagerInRelease(): X509TrustManager {
    return object : X509TrustManager {

        override fun checkClientTrusted(chain: Array<X509Certificate>, authType: String?) {}

        override fun getAcceptedIssuers(): Array<X509Certificate> = arrayOf()

        override fun checkServerTrusted(chain: Array<X509Certificate>, authType: String?) {
            val myCrt: X509Certificate = myCrt
            if (chain[0].subjectDN.name == myCrt.subjectDN.name) {
                if (!myCrt.signature!!.contentEquals(chain[0].signature)) {
                    throw SSLHandshakeException("签名不符!")
                }
            }
        }
    }
}
  1. 将自定义的 SSLSocketFactory 和 X509TrustManager 将入到 okhttp 客户端

    private fun getClient(ssl: SSLSocketFactory, trustManager: X509TrustManager): OkHttpClient {
        return OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()
    }

这样一来便无法通过 Drony + Charles 进行抓包了



作者:一方乌鸦
链接:https://www.jianshu.com/p/9921db646c59
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

Android App 如何防止抓包
xiangzhihong8的专栏
12-13 5446
在软件开发中,常用的抓包方式有 Charles 、 Fiddler和Burp,它们通过在手机网络中添加代理的方式,然后安装信任证书,接着就可以在 App 请求的时候拿到请求数据。不过,这也可能导致一些安全问题,所以对于我们通常的处理方式是,对于线上运行的包,需要防止这些抓包手段。
APP爬虫-抓包篇】巧妙使用工具与技巧绕过安卓APP抓包
吴秋霖的博客
01-05 1万+
最新且最全APP抓包汇总!使用各种工具与技巧绕过APP抓包护!
如何实现 Android App抓包护?又该如何绕过?一文看懂攻博弈
最新发布
07-02 837
常见反抓包手段:No Proxy(禁用代理)启用 HTTPS + SSL Pinning使用 DNS-over-HTTPS / DoT(隐藏 DNS 请求)检查系统代理(Java 层检查 System.getProperty(“http.proxyHost”))检测 VPN 或 adb 代理使用 native 层自己实现网络请求(绕过 Java 层)证书双向校验所谓 “无代理模式” 实际上是通过主动避免走系统代理,从而规避传统的中间人抓包。设置 OkHttp 不使用系统代理,直接访问服务器: 设置 NO_P
Android APP抓包
u010248450的专栏
03-23 5463
因为抓包是需要在手机上的wifi设置一个代理,所以抓包的的策略就是,在访问数据前加入一个判断,如果手机使用了wifi代理,不访问数据,否则访问。 if(isWifiProxy()){  //true,使用了wifi代理     //不做访问操作 }else{                 //flase,正常用户,未使用wifi代理    //访问数据 } 注意:不足之处就
漫画:App-防止-Fiddler-抓包小技巧!
2401_84122826的博客
04-07 870
如果你看到了这里,觉得文章写得不错就给个赞呗?如果你觉得那里值得改进的,请给我留言。一定会认真查询,修正不足。最后针对Android程序员,我这边给大家整理了一些资料,包括不限于高级UI、性能优化、移动架构师、NDK、混合式开发(ReactNative+Weex)微信小程序、Flutter等全方面的Android进阶实践技术;希望能帮助到大家,也节省大家在网上搜索资料的时间来学习,也可以分享动态给身边好友一起学习!
Android 抓包
熊猫卓Sun博客
02-12 1862
1.使用https,可以初步防止一些只抓http包的软件。 2.如果网络框架使用的是OkHttp,可以在Builder中设置proxy(Proxy.NO_PROXY)属性,禁止使用代理,这样一般使用中间人的代理就使用不了,客户端是直接访问服务器。 3.判断是否使用了代理: final boolean flag = Build.VERSION.SDK_INT >=14; ...
App抓包的四种绕过方法(详细)
热门推荐
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-02 2万+
平时做app渗透的适合,是不是经常会遇到burp抓不到包的问题,本文梳理了一些APP抓不到包的解决思路
Android抓包 - 反抓包策略总结
dafan0的博客
06-02 973
可以思考是否是使用其他框架如flutter进行的开发或使用了自定义的协议进行的网络通信,此时需要先借助更加底层的抓包工具如wireshark进行协议分析,明确具体使用了那种协议后,才好确定后续的绕过方案。也许以上方式都尝试了,结果依然无法抓包抓包前,可能会遇到 app 检测。
App防止网络请求被代理抓包的解决方法
哆啦安全
09-11 3185
1.Android项目代码兼容性设置 添加安全配置文件 <?xml version="1.0" encoding="utf-8"?> <network-security-config> <base-config cleartextTrafficPermitted="true"> <trust-anchors> <certificates overridePins="tr
Android平台HTTPS抓包解决方案及问题分析
2401_89824554的博客
01-10 1178
比如上面的例子,抓包工具用内置的CA证书,创建了www.baidu.com域名的公钥证书发给Client,系统校验此证书时发现是用户CA证书签发的,sorry。。。
Android开发如何防止被Fiddler抓取HTTP/HTTPS数据包
01-03
Android开发过程中需要网络访问获取数据,一般都是通过HTTP/HTTPS请求服务器获取数据;      但是HTTP/HTTPS请求很容易被别人使用一些像Fiddler等抓包工具抓取信息,对数据进行分析 很容易得到请求方式、请求接口地址、请求参数、消息头部信息、请求类型等信息,以及请求响应 返回的数据信息;            获取到这些信息后,一方面可以分析数据得到想要的数据,如获取视频网站中的视频路径等, 另一方面可以模拟各种请求不断发送到服务器,这样可以不停的从服务器获取数据,还可能造成服 务器负载过大;      有童鞋可能说我可以对数据进行加密,这样即使抓取到数据也无法识别;
Android 如果防止APK被抓包工具抓包
zhangmiaoping23的专栏
01-22 1万+
现象:charles抓不到包,但wireshark,HttpAnalyzor可以抓到包。 关键代码: URL url = new URL(urlStr); urlConnection = (HttpURLConnection) url.openConnection(Proxy.NO_PROXY); OkHttpClient client = new OkHttpClient().
HTTPS工作原理以及Android中如何防止抓包
祝起光的博客
09-26 3096
1. HTTPS的定义 说道HTTPS,不得不提HTTP,HTTP最大的缺陷就是明文传输,数据传输过程中很容易被篡改,所以美国网景公司提出来HTTPS协议,相对HTTP,HTTPS多了一个S,这个S,其实就是SSL/TSL,SSL全称安全套接字层,TSL1.0(传输层安全协议)是SSL3.0的升级版,是用于服务器和客户端加密通信的,所以可以认为两者是同一种协议,SSL因为自身的不安全性,在Andr...
android接口如何抓取
wangyongqi的博客
02-22 1944
通过Fiddler抓包工具获取接口信息>>> 那么问题来了,app怎么抓取??? 通过以下方案解决接口抓取问题!!! 方案一:通过判断手机是否设置了代理 /** * 是否设置了WIFI代理 * * @return */ private static boolean isWifiProxy() { final boolean IS_ICS_O...
android 抓包抓包设置
yangfei1101的博客
09-16 7482
android 抓包抓包设置 1、开发阶段,开启可抓包; 2、生产上线,开启抓包; 一、设置允许抓包 1、在res文件夹下新建xml文件夹; 2、在xml文件夹下新建xml文件:network_security_config.xml <?xml version="1.0" encoding="utf-8"?> 3、在AndroidManifest.xml文件中的app
漫画:App 防止 Fiddler 抓包小技巧!
whale_kyle的博客
06-12 1424
判断当前系统是否挂代理 获取当前系统是否设置代理,可以根据不同的 Api Level,分别通过System.getProperty()和android.net.proxy.getXxx()方法获取到。 private fun checkWifiProxy(): Boolean { val IS_ICS_OR_LATER = Build.VERSION.SD...
如何解决APP抓包问题【网络安全】_app 防止抓包,997页手淘网络安全面试真题解析火爆全网
2401_83974020的博客
04-20 1195
/ 建议不要使用自己实现的X509TrustManager,而是使用默认的X509TrustManager。// 创建一个 TrustManager 仅把 Keystore 中的证书 作为信任的锚点。// 用 TrustManager 初始化一个 SSLContext。
Ios应用网络安全之https
weixin_33901926的博客
01-14 310
戴维营教育原创文章,转载请注明出处。我们的梦想是做最好的iOS开发培训!iOS应用网络安全之HTTPS1. HTTPS/SSL的基本原理安全套接字层 (Secure Socket Layer, SSL) 是用来实现互联网安全通信的最普遍的标准。Web 应用程序使用 HTTPS(基于 SSL 的 HTTP),HTTPS 使用数字证书来确保在服务器和客户端之间进行安全、加密的通信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值