大家好,我是阿萨。最近碰到使用浏览器使用HTTPS抓包时,抓包工具无法抓包。而且还是使用HSTS的模式以及SSL Pinning 技术。
首先介绍下HSTS:
HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议
HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。
需要详细了解SSL Pinning的,自行搜索。
因为强制使用了自己证书校验,抓包工具的SSL证书就校验不通过了,这时需要将网站证书导入抓包工具中才能正常工作。
那有些人就说了,我没有证书咋办呢?
别急。我们先打开需要抓包的网址。HTTPS的网址前面会有一把锁。点开锁,可以查看证书详情。以Mac 电脑 Chrome 浏览器 Stack Overflow 网站截图为例。
点 Connection is Secure 位置。
点击 Certificate is valid 打开链接。查看证书名称。
打开KeyChain ( 可以直接在浏览器里管理证书位置打开keyChain)。找到对应证书。点击右键,导出你想要的格式
导出证书后,倒入抓包工具的证书管理工具里,重启抓包工具就可以了。
windows导出证书和mac的导出方法不一致。
Windows 的浏览器查看证书位置,可以直接导出证书。
Mac是key chain管理的。
大家赶快试一试吧。
网友评论