APP 测试 - 移动端 IOS 抓包工具 Stream
2023-5-8 08:2:54 Author: 渗透测试(查看原文) 阅读量:47 收藏

前言

在APP测试工作过程中,经常会遇到APP设置了SSL证书校验的情况,导致无法通过BurpSuite等软件代理的方式抓取APP的HTTPS数据包。多数场景下可以通过 Stream工具VPN代理的方法绕过 SSL 证书校验抓取HTTPS网络数据包。

0x01 工具简介

Stream是一款IOS系统特有的网络抓包工具,该工具可以直接独立运行在 IOS设备,无需依赖PC环境。Stream面向对象为广大前端开发、客户端开发、后端开发、运维工程师、测试工程师以及具备一定网络分析能力的普通用户,通过此工具可以抓取IOS移动端软件的HTTP/HTTPS网络数据包。

0x02 下载安装

在App Store应用商店,直接搜索Stream名称,即可下载安装。


0x03 抓包教程
下载安装成功后,打开Stream软件,点击开始抓包,首次使用会提示添加 VPN 设置,点击允许,之后软件会弹出提示输入下手机密码即可。

VPN 设置成功后,Stream软件会继续提示抓取HTTPS请求需要安装CA证书,点击安装证书。

之后会自动跳转浏览器点击允许下载证书,然后打开系统设置-通用-VPN 与设备管理,即可看到下载完成的CA证书文件。

点击已下载的Stream描述文件,弹出安装界面,点击右上角安装,安装成功后CA证书会出现在配置描述文件列表。

CA证书安装完成后,然后打开系统设置-关于本机-证书信任设置,将 Stream 的CA证书信任开关打开即可。


全部设置完成后,返回Stream应用,会提示设置成功,然后返回Stream主界面,点击开始抓包即可。


之后,打开要测试的APP软件,以爱奇艺APP为例,打开应用程序随便刷新几个页面,然后返回Stream查看抓包历史,即可看到爱奇艺APP的HTTP/HTTPS网络数据包。


在抓包历史记录中,点击选中一条数据,即可查看完整的请求数据包和响应数据包内容。


仅用于技术交流,请勿用于非法用途。

技术交流

    扫描下方二维码,并在验证信息中说明来意,文章仅供交流学习,本公众号不承担任何有关责任! 微信:SQL-Sec

免责声明

该项目仅供网络安全研究使用,禁止使用该项目进行违法操作,否则自行承担后果。

    该文章仅供网络安全研究使用,禁止使用该项目进行违法操作,否则自行承担后果,请各位遵守《中华人民共和国网络安全法》!!!

参考文章

http://www.manongjc.com/detail/60-orouqywyeyxbgyh.html

原文链接:http://www.luckysec.cn/posts/497e7bd5.html


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2ODY3NDYxNA==&mid=2247484366&idx=1&sn=3f67a1e81f2921b4f78f8762f3054542&chksm=cea9fe97f9de7781dd964d1e1809078c45f72b4748a1303d613bf383876a19050c05c038e513#rd
如有侵权请联系:admin#unsafe.sh