未分類
3 11 月 2020

通过 charles 抓淘宝 app 抓包抓不到数据!

通过 charles 抓淘宝 app 抓包抓不到数据!

資深大佬 : coderabbit 4

正在做购物车功能,有正常商品,有失效商品!我就是想看下怎么组装返回数据比较合理。然后我淘宝购物车里放了上百件商品,过期商品一大堆。然后我就想抓包看下返回结果,结果别的 app 都能抓到数据淘宝的抓不到。淘宝是用了啥特异功能嘛!

大佬有話說 (26)

  • 資深大佬 : blueaurora

    线上接口自然都是加密的.. 不只是 https 的加密.. 别的 app 都能抓到? 大型 App 都应该抓不到吧

  • 資深大佬 : coderabbit

    @blueaurora 京东的我都能看到数据的!淘宝是请求都没有都没有看到。但是界面数据是拉回来了的!

  • 資深大佬 : lcy630409

    都可以抓,有一些 app 都是乱码,即使装了根证书。
    你把淘宝大退一下 再进来,如果已经开启淘宝的状态下再用代理,app 是还会用之前的网络连接的。

  • 資深大佬 : newee

    笑了 因为某宝没有用 http 协议

  • 資深大佬 : whimsySun

    上了 https 并且用了 ssl pinning,就抓不到包了

  • 資深大佬 : zhuziyi

    做了反抓包处理。

  • 資深大佬 : AkideLiu

    不了解淘宝技术如何。
    charles 抓过 Google,onedrive,canvas 。都是 https,都可以抓到 api

  • 資深大佬 : ob

    淘宝和微信的都抓过,遇到同样的问题,做了各种加密反抓包处理,不太好抓。

  • 資深大佬 : miyuki

    ssl pinning
    客户端只认特定证书,即使系统已信任

  • 資深大佬 : jesse_luo

    1 走了 TCP 长连接或者其他协议,不走 HTTP,用 wireshark 抓
    2 内容二进制协议,加密
    3 反爬

  • 資深大佬 : DoctorCat

    大概率 ssl pinning

  • 資深大佬 : zxc12300123

    就是 SSL pinning

  • 資深大佬 : ColoThor

    可能有些请求是 tcp 长连接什么的,支付宝就是这样

  • 資深大佬 : knightdf

    ssl pinning, charles+shadowrocket 试试

  • 資深大佬 : dcty

    看不到请求,能返回数据,那可能不是用的 http 协议。

  • 資深大佬 : maskerTUI

    用了 SSL pinning,安卓的话使用 xposed+justtrustme 可以破,ios 需要越狱+SSL Kill Switch 。

  • 資深大佬 : shawndev

    https + ssl pinning, 或者 http method connect

  • 資深大佬 : cwyalpha

    搭车问一下 想做一些 apk 逆向或者抓包的工作,需要 root 、xpose 、justtrustme 这类工具,选哪个安卓比较标准方便 root ?

  • 資深大佬 : cwyalpha

    搭车问一下 想做一些 apk 逆向或者抓包的工作,需要 root 、xpose 、justtrustme 这类工具,选哪个安卓 [手机] 比较标准方便 root ?

  • 資深大佬 : knightdf

    @cwyalpha 模拟器欢迎你

  • 資深大佬 : fantastM

    可以在浏览器上抓 m.taobao.com 上的请求

  • 資深大佬 : huruwo

    frida 脚本 解开 详见 https://blog.csdn.net/qq_34067821/article/details/103203549
    setTimeout(function () {
    console.log(‘start——*-*-*-*-*-‘);
    Java.perform(function () {
    var SwitchConfig = Java.use(‘mtopsdk.mtop.global.SwitchConfig’);
    SwitchConfig.isGlobalSpdySwitchOpen.overload().implementation = function () {
    var ret = this.isGlobalSpdySwitchOpen.apply(this, arguments);
    console.log(“开启抓包” + ret);
    return false;
    }
    });
    });

  • 資深大佬 : huruwo

    @cwyalpha 是 xposed 按道理是谷歌亲儿子没错了 其实国产的小米魅族一加都可以 可以 root 就行

  • 資深大佬 : Lemeng

    大公司的加密费神。尤其是阿里和腾讯,试过淘宝微信,费神

  • 資深大佬 : bruce0

    大概率是 app 内置了证书, 后端只信任自己的证书,不信任系统的
    可以看一下这个
    https://zhuanlan.zhihu.com/p/46433599

  • 資深大佬 : tu9oh0st

    可以试试 socket