前言
在 APP 测试工作过程中,经常会遇到 APP 设置了 SSL 证书校验的情况,导致无法通过 BurpSuite 等软件代理的方式抓取 APP 的 HTTPS 数据包。多数场景下可以通过 Stream 工具 VPN 代理的方法绕过 SSL 证书校验抓取 HTTPS 网络数据包。
0x01 工具简介
Stream 是一款 IOS 系统特有的网络抓包工具,该工具可以直接独立运行在 IOS 设备,无需依赖 PC 环境。Stream 面向对象为广大前端开发、客户端开发、后端开发、运维工程师、测试工程师以及具备一定网络分析能力的普通用户,通过此工具可以抓取 IOS 移动端软件的 HTTP/HTTPS 网络数据包。
0x02 下载安装
在 App Store 应用商店,直接搜索 Stream 名称,即可下载安装。
0x03 抓包教程
下载安装成功后,打开 Stream 软件,点击开始抓包,首次使用会提示添加 VPN 设置,点击允许,之后软件会弹出提示输入下手机密码即可。
VPN 设置成功后,Stream 软件会继续提示抓取 HTTPS 请求需要安装 CA 证书,点击安装证书。
之后会自动跳转浏览器点击允许下载证书,然后打开 系统设置-通用-VPN 与设备管理,即可看到下载完成的 CA 证书文件。
点击已下载的 Stream 描述文件,弹出安装界面,点击右上角安装,安装成功后 CA 证书会出现在配置描述文件列表。
CA 证书安装完成后,然后打开 系统设置-关于本机-证书信任设置,将 Stream 的 CA 证书信任开关打开即可。
全部设置完成后,返回 Stream 应用,会提示设置成功,然后返回 Stream 主界面,点击开始抓包即可。
之后,打开要测试的 APP 软件,以爱奇艺 APP 为例,打开应用程序随便刷新几个页面,然后返回 Stream 查看抓包历史,即可看到爱奇艺 APP 的 HTTP/HTTPS 网络数据包。
在抓包历史记录中,点击选中一条数据,即可查看完整的请求数据包和响应数据包内容。
