Charles抓取https数据的原理，如何防止中间人攻击

Posted 2023-05-08

参考技术A

阅读原文

Charles 作为一个“中间人代理”，当浏览器和服务器通信时， Charles 接收服务器的证书，但动态生成一张证书发送给浏览器，也就是说 Charles 作为中间代理在浏览器和服务器之间通信，所以通信的数据可以被 Charles 拦截并解密。由于 Charles 更改了证书，浏览器校验不通过会给出安全警告，必须安装 Charles 的证书后才能进行正常访问。

下面来看具体的流程：

这就是我们执行【在电脑上安装Charles根证书】或【移动端安装Charles根证书】的理由了。 CA证书 认证链的终点是根证书，如果能证明该证书的颁发机构的根位于系统根证书列表内，则说明该证书就是有效的。

其实即使我们不在客户端安装 Charles 根证书，仅仅执行【指定需要解析的Https请求】这一步也是可以抓取 Https 数据的。

但此时客户端会发出警告信息，选择忽视警告继续访问就可以了。

这种情况也有例外，如果服务端Https使用 HSTS 规则的话，当证书不被系统信任时，连接是不会创建成功的。

参考检测代理方法

以上设置，会校验请求的时候不仅仅校验域名,会将证书中的公钥及其他信息也进行校验，中间人伪造的证书就无法通过验证,无法进行抓包。

以上资料结合自己理解和资料，供参考，谢谢！

参考资料

浅谈Charles抓取HTTPS原理

ios 如何防止https抓包

Charles 如何抓取https数据包

 

Charles可以正常抓取http数据包，但是如果没有经过进一步设置的话，无法正常抓取https的数据包，通常会出现乱码。举个例子，如果没有做更多设置，Charles抓取https://www.baidu.com的结果如下：

上图显示都是乱码，为了正常可以抓取到数据，我们需要通过以下配置：

抓包准备

安装Charles: 演示版本是4.0.2

手机设备：iphone

电脑系统：MAC

电脑下载证书

在Charles菜单栏中选择Help -> SSL-Proxying -> Install Charles Root Certificate：

将证书安装到本地，注意这里需要双击证书设置证书被始终信任，不然默认是未信任的：

手机端安装证书

在Charles菜单栏中选择Help -> SSL-Proxying -> Install Charles Root Certificate on a Mobile Device or Remote Browser：

这时候，Chrome会弹出一个窗口，如下：

提示内容为，在设备中先设置好代理，其中ip为红色横条显示的区域，端口为8888，然后通过设备的默认浏览器（这里是safari）输入chls.pro/ssl访问，即可安装证书。输入chls.pro/ssl回车后便会提示安装证书：

      

配置需要访问的https的路径

安装完证书后，还需在Charles要配置下所需要抓包的https路径，在Charles菜单栏中选择Proxy -> SSL Proxy Settings，然后勾选Enable SSL Proxying，然后添加一个路径，其中Host是需要访问路径的域名，端口默认为443：

到此，配置结束。

接下来，我们就可以正常抓取https:www.baidu.com的数据包了，如下：

 

Charles设置代理后，手机无法上网

 

 

要抓手机app的包，手机配置好代理后，能连接到Charles，但是手机无法上网。

原因：Charles开启了White list

解决方式：关闭White List；Tools-->White List