监控来自android应用程序的HTTP(S)调用

Question

我想测试一下Android应用程序中的安全漏洞，因此我想监控所有从Android应用程序发出的HTTP(S)调用。

我已经在我的笔记本电脑上安装了BurpSuit，并且在我的安卓设备中设置了代理。在用户信任的证书中安装了Burp证书之后，我能够正确地监控HTTP(S)对网站和几乎所有应用程序的调用。

但有些应用程序出现错误，称“无法连接。请检查互联网连接。”

我使用的是Android5.0无根设备。

任何帮助都会很感激

Answer 1

有些应用程序配置了硬编码CA证书或内部证书存储。这意味着不能通过在共享证书存储中添加CA来使他们信任您的证书。这是相当常见的安全措施，例如在金融业。

Answer 2

您需要一个根设备来绕过SSL固定(导致此错误：“无法连接。请检查internet连接”)。阻止你看到/拦截请求。上有许多可用的工具可以提供帮助。