之前完成了抖音抓包分析。当你使用fiddler进行抓包工具运行模拟器或者真机的时候,发现抖音无法联网了。需要破解了。
什么是SSLpinningSSL pinning,即SSL证书绑定,是验证服务器身份的一种方式,是在https协议建立通信时增加的代码逻辑,它通过自己的方式验证服务器身份,然后决定通过是否继续下去。它唯一指定了服务器的身份,所以安全性较高。
1.根据浏览器或者说是操作系统(android)自带的证书链 2.使用自签名证书 3.自签名证书加上SSL pinning特性 解决方案有矛就有盾,开发者已经突破了ssl-pinning的限制达成了抖音的抓包需求。其实现的基本原理很简单,客户端不是会做两个证书间的一次性校验吗,那么就通过hook的方式将此次校验的结果返回true或者干脆不让其做校验。当然这种做法只能在越狱环境下实现,但对于抓包来说,这已经足够了。没有破解不了的应用,只有破解成本高到无法承受的应用。
官网:https://repo./module/de.robv.android.xposed.installer
一个框架,它可以改变系统和应用程序的行为,而不接触任何APK,它支持很多模块,每个模块可以用来帮助实现不同的功能 需要说明的是目前好像用夜神模拟器只能使用andriod4。
安装Xposed 和 JustTruestMe这里就不拿真机演示了,真机最好的方式就是直接刷带xposed框架的系统,刷机精灵一搜就可以搜到。
开启ROOT
下载APK
重启模拟器
再次重启模拟器
重启后,安装成功
1.打开Xposed Installer 2.选择模块 3.再次重启手机,再次打开Xposed ,点开模块,勾选已经勾上了。 PS:真实的手机跟模拟器是一样的,找一个xposed这样的系统。避免变砖的可能。下次咱们开始抖音粉丝数据接口的分析。
|