V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
coderabbit
V2EX  ›  程序员

通过 charles 抓淘宝 app 抓包抓不到数据!

  •  
  •   coderabbit · 2020-11-15 21:37:45 +08:00 · 6633 次点击
    这是一个创建于 377 天前的主题,其中的信息可能已经有所发展或是发生改变。

    正在做购物车功能,有正常商品,有失效商品!我就是想看下怎么组装返回数据比较合理。然后我淘宝购物车里放了上百件商品,过期商品一大堆。然后我就想抓包看下返回结果,结果别的 app 都能抓到数据淘宝的抓不到。淘宝是用了啥特异功能嘛!

    26 条回复    2020-11-16 16:35:55 +08:00
    blueaurora
        1
    blueaurora   2020-11-15 21:44:51 +08:00
    线上接口自然都是加密的.. 不只是 https 的加密.. 别的 app 都能抓到? 大型 App 都应该抓不到吧
    coderabbit
        2
    coderabbit   2020-11-15 21:56:04 +08:00
    @blueaurora 京东的我都能看到数据的!淘宝是请求都没有都没有看到。但是界面数据是拉回来了的!
    lcy630409
        3
    lcy630409   2020-11-15 21:56:54 +08:00
    都可以抓,有一些 app 都是乱码,即使装了根证书。
    你把淘宝大退一下 再进来,如果已经开启淘宝的状态下再用代理,app 是还会用之前的网络连接的。
    newee
        4
    newee   2020-11-15 21:57:22 +08:00
    笑了 因为某宝没有用 http 协议
    whimsySun
        5
    whimsySun   2020-11-15 22:41:51 +08:00   ❤️ 8
    上了 https 并且用了 ssl pinning,就抓不到包了
    zhuziyi
        6
    zhuziyi   2020-11-15 22:43:12 +08:00 via iPhone
    做了反抓包处理。
    AkideLiu
        7
    AkideLiu   2020-11-15 22:48:13 +08:00 via iPhone
    不了解淘宝技术如何。
    charles 抓过 Google,onedrive,canvas 。都是 https,都可以抓到 api
    ob
        8
    ob   2020-11-15 22:51:43 +08:00
    淘宝和微信的都抓过,遇到同样的问题,做了各种加密反抓包处理,不太好抓。
    miyuki
        9
    miyuki   2020-11-15 22:53:21 +08:00 via Android
    ssl pinning
    客户端只认特定证书,即使系统已信任
    jesse_luo
        10
    jesse_luo   2020-11-16 01:55:00 +08:00
    1 走了 TCP 长连接或者其他协议,不走 HTTP,用 wireshark 抓
    2 内容二进制协议,加密
    3 反爬
    DoctorCat
        11
    DoctorCat   2020-11-16 02:04:41 +08:00
    大概率 ssl pinning
    zxc12300123
        12
    zxc12300123   2020-11-16 02:11:32 +08:00 via iPhone
    就是 SSL pinning
    ColoThor
        13
    ColoThor   2020-11-16 10:08:32 +08:00
    可能有些请求是 tcp 长连接什么的,支付宝就是这样
    knightdf
        14
    knightdf   2020-11-16 10:20:05 +08:00
    ssl pinning, charles+shadowrocket 试试
    dcty
        15
    dcty   2020-11-16 10:27:10 +08:00
    看不到请求,能返回数据,那可能不是用的 http 协议。
    maskerTUI
        16
    maskerTUI   2020-11-16 10:37:37 +08:00
    用了 SSL pinning,安卓的话使用 xposed+justtrustme 可以破,ios 需要越狱+SSL Kill Switch 。
    shawndev
        17
    shawndev   2020-11-16 10:37:40 +08:00
    https + ssl pinning, 或者 http method connect
    cwyalpha
        18
    cwyalpha   2020-11-16 10:56:46 +08:00
    搭车问一下 想做一些 apk 逆向或者抓包的工作,需要 root 、xpose 、justtrustme 这类工具,选哪个安卓比较标准方便 root ?
    cwyalpha
        19
    cwyalpha   2020-11-16 10:57:57 +08:00
    搭车问一下 想做一些 apk 逆向或者抓包的工作,需要 root 、xpose 、justtrustme 这类工具,选哪个安卓 [手机] 比较标准方便 root ?
    knightdf
        20
    knightdf   2020-11-16 10:59:56 +08:00
    @cwyalpha 模拟器欢迎你
    fantastM
        21
    fantastM   2020-11-16 13:34:04 +08:00   ❤️ 1
    可以在浏览器上抓 m.taobao.com 上的请求
    huruwo
        22
    huruwo   2020-11-16 14:23:36 +08:00
    frida 脚本 解开 详见 https://blog.csdn.net/qq_34067821/article/details/103203549
    setTimeout(function () {
    console.log('start——*-*-*-*-*-');
    Java.perform(function () {
    var SwitchConfig = Java.use('mtopsdk.mtop.global.SwitchConfig');
    SwitchConfig.isGlobalSpdySwitchOpen.overload().implementation = function () {
    var ret = this.isGlobalSpdySwitchOpen.apply(this, arguments);
    console.log("开启抓包" + ret);
    return false;
    }
    });
    });
    huruwo
        23
    huruwo   2020-11-16 14:25:25 +08:00
    @cwyalpha 是 xposed 按道理是谷歌亲儿子没错了 其实国产的小米魅族一加都可以 可以 root 就行
    Lemeng
        24
    Lemeng   2020-11-16 14:28:01 +08:00
    大公司的加密费神。尤其是阿里和腾讯,试过淘宝微信,费神
    bruce0
        25
    bruce0   2020-11-16 15:27:31 +08:00
    大概率是 app 内置了证书, 后端只信任自己的证书,不信任系统的
    可以看一下这个
    https://zhuanlan.zhihu.com/p/46433599
    tu9oh0st
        26
    tu9oh0st   2020-11-16 16:35:55 +08:00
    可以试试 socket
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2270 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:31 · PVG 16:31 · LAX 00:31 · JFK 03:31
    ♥ Do have faith in what you're doing.