0、前言
从Nougat开始,Android更改了对用户安装证书的默认信任行为。这意味着,从sdcard安装Burp CA将无法拦截应用流量。除非另有说明,否则应用程序将只会信任系统级别的CA证书。
也就是说,安卓7.0及以上系统对于证书的安全策略做了修改,用户证书只能用于代理浏览器的流量,而应用是不会信任这些证书。
实测在安装了高版本安卓系统的手机上安装CA证书会出现提示:
因此,在这些手机上使用HttpCanary等工具进行抓包需要进行特殊操作,先从设置中手动安装证书,再绕过软件对CA证书的检测。
1、安装HttpCanary
推荐使用HttpCanary 3.3.6高级版
下载地址:
清北网盘(30天过期)
https://pan.tsinbei.com/s/NqFQ
密码:aygk4s
注意:使用其他版本可能导致部分功能不全,如部分版本不支持导出证书。
2、安装证书
点开左上角菜单栏,进入设置
点开抓包设置-根证书设置
点击安装根证书
注意:以上步骤需要在低版本安卓上进行,建议与自己的手机同品牌,方便后续进行软件备份和迁移
HttpCanary绕过证书安装
评论