浅谈Mac抓包工具-Charles
前言今天给大家推荐一个我所使用过的抓包工具中最好用的抓包工具-Charles(音译:查尔斯),它可以抓各端发起的网络请求,我主要用来抓移动设备上的请求,上次小明就通过这种方式找到了一款付费
App课程的漏洞,咳咳,不展开说了,毕竟web端的浏览器网络请求,打开开发者工具就能看到(滑稽)。
下载安装
官网下载链接:www.charlesproxy.com/download/
期限:试用30天
配置及使用
第一次启动的时候会提示自动配置,点击同意即可,当然也可以自定义配置。主要配置全部在Proxy这里,端口号默认8888,也可以自己调整。
接下来,给大家分别介绍一下使用Charles抓取浏览器和移动端网络请求的方法。
浏览器
拿Mac举例(如题),需要将当前你连接的网络配置网页代理(http)、网页安全代理(https),默认Charles会自动配置好,如下所示:
当然,如果你看到的不是这样,也可以手动配置,其中127.0.0.1表示本地地址,端口号根据自己的配置指定。确认好以上配置以后,这时我们打开百度,却提示:您的连接不是私密连接!
此时一定要沉着冷静,这是表示当前https代理证书不被信任,解决方法如下:
·打开Charles,选择Help -> SSL Proxy -> Install Charles Root Certificate
·在弹出的证书窗口中,可以看到该证书已成功添加,但是此时该证书图标有叉号,表示仍然不被信任
· 双击此证书,在弹出的Charles Proxy CA窗口中,点击“信任“按钮 -> 使用此证书 -> 选择”始终信任“后关闭窗口,使用账号和密码授权后,即可看到此证书叉号消失,表示已经被信任
· 再次打开百度,我们就可以正常访问
如果此时Charles弹出弹窗提示是否allow,选择allow即可。当然,我们也可以设置全部https网络请求都允许抓取。
选择Proxy -> SSL Proxying Settings,增加一个Location
Host: *
Port: 443
移动端(本文重点)
抓取http请求
·同样在电脑上打开Charles
· 现在需要在手机上配置代理
wifi设置-网络代理,输入电脑的ip、端口号(默认8888),可通过ifconfig查看本机电脑ip
· 保存后,Charles会弹出弹窗提示是否allow,选择allow即可。
如果你使用的手机系统是Android,此时,Charles就可以抓取http和https的网络请求,而如果你使用的是iPhone的ios系统,则目前只能抓取http网络请求,接下来我们看一下ios系统的手机如何抓取
https的网络请求。
抓取 ios https请求 众所周知,ios是一个很讲究的系统,首先我们需要安装证书。
选择Charles-> Help -> SSL Proxying-> Install Charles Root Certificate on a Mobile Device or Remote Browser,我们可以看到如下提示:
小明翻译一下:
为你的手机配置http代理。打开手机设置的无线局域网(确保手机和电脑在同一WiFi下:),点击右边的i,拉到最下面,选择“配置代理”,代理地址就是弹窗的地址。
打开手机浏览器,输入chls.pro/ssl,下载并安装证书。
ios的证书下载后需要到 设置 -> 通用 -> 描述文件 下去安装证书
注意!还没有结束!(多少英雄好汉跌倒在这里)
安装成功后,实际上我们并未授信证书, 选择 设置 -> 通用 -> 关于本机 -> 证书信任设置 对证书开启完全信任!
可以设置不代理计算机的请求(可选择)
选择Proxy -> macOS 取消勾选则表示不抓取计算机的请求。
同理,选择Proxy -> Mozilla Firefox 不勾选则不抓取计算机上 Mozilla Firefox浏览器的请求。
这个应用场景主要是只针对移动端数据抓取时,则这两项就可以不勾选。
Charles的操作使用今天就介绍到这里,恭喜你!已经掌握了它的80%功能,已经足够日常开发使用,是不是感觉自己又变厉害啦!当然,它还有高端的玩法,比如打断点,修改请求、返回的参数,本次
暂不介绍,以后有机会小明再来补充。
页:
[1]
