Burpsuite如何抓取使用了SSL或TLS传输的 IOS App流量

Posted 北海悟空

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Burpsuite如何抓取使用了SSL或TLS传输的 IOS App流量相关的知识,希望对你有一定的参考价值。

之前一篇文章介绍了Burpsuite如何抓取使用了SSL或TLS传输的Android App流量,那么ios中APP如何抓取HTTPS流量呢,

套路基本上与android相同,唯一不同的是将证书导入ios设备的过程中有些出路,下面进行详细介绍。

 

以抓包工具burpsuite为例,如果要想burpsuite能抓取IOS设备上的HTTPS流量首先是要将burpsuite的证书导入到ios设备中,

burpsuite的证书如何获取并保存在本地pc上请参考here

 

burpsuite的证书拿到了后就要在ios设备上安装了,网上有很多资料显示要安装证书需要在IOS设备的

[设置]->[通用]->[描述文件]功能里添加,问题是如果你从来没有安装过相关证书的话“描述文件”这个选项

是不会显示出来的,如下图所示

重点来了,我们可以通过在Safari上访问包含证书文件的下载地址,通过下载文件的打开方式间接调用

文件描述来执行证书安装,问题又来了,包含证书文件的下载地址在哪里,也就是说burpsuite的证书在哪里下载,

有一种比较笨的方法就是将之前已经下载好保存在本地PC的burp证书文件上传至百度云,然后通过下载功能找到文件的网络地址,

操作如下:

  •  上传证书到百度云,然后点击下载

  • 点击下载后弹出保存的窗口,该窗口中会有文件网络地址,记录下该地址。

接下来,将上一步中保存的链接在Safari上访问,此时IOS设备会弹出以下安装描述文件的提示:

点击安装,会提示你输入IOS设备的解锁密码,继续调到如下页面

继续安装,安装后通用的页面则有了“描述文件”模块

进入该模块后发现了我们刚刚安装的证书

 

到此,burpsuite证书的导入已经完成,剩下的就是在PC端配置burpsuite的代理,设置监听端口,

然后在IOS设备匹配相应的IP与端口就可以抓取HTTPS流量包了。

以上是关于Burpsuite如何抓取使用了SSL或TLS传输的 IOS App流量的主要内容,如果未能解决你的问题,请参考以下文章

WireShark抓取QQ邮箱

SSL和TLS协议如何提供身份验证机密性和完整性

如何使用 SSL/TLS 和/或消息级安全性保护 RESTful php Web 服务

抓包工具(如Charles)抓取Https数据包

BurpSuite CA证书安装(拦截HTTPS协议)

BurpSuite CA证书安装(拦截HTTPS协议)