Android防止抓包之代理篇

2018-02-02 本文已影响2880人 ana生

在介绍防止抓包前先秀秀我的抓包之旅（抓包教程会在文末给出），先来看看一个朋友的项目：

py.png

这是我通过抓包获取到的数据，都很熟悉，传递参数、回调json串都有，这么清晰，想想自己的app，瑟瑟发抖！！！

接下来这个是百思不得姐的app：

budejie.png

可以看到，传递参数什么都可以看到，返回的json也是清晰可见。
加密的方式有很多种，但最终都会有被爬的风险。抓包工具很多，但原理不尽一致，都是通过wifi设置代理的方式进行抓包。既然知道抓包的原理，那就直接贴代码了：

方案一

private static boolean isWifiProxy() {
    final boolean IS_ICS_OR_LATER = Build.VERSION.SDK_INT >= Build.VERSION_CODES.ICE_CREAM_SANDWICH;
    String proxyAddress;
    int proxyPort;
    if (IS_ICS_OR_LATER) {
        proxyAddress = System.getProperty("http.proxyHost");
        String portStr = System.getProperty("http.proxyPort");
        proxyPort = Integer.parseInt((portStr != null ? portStr : "-1"));
    } else {
        proxyAddress = android.net.Proxy.getHost(mContext);
        proxyPort = android.net.Proxy.getPort(mContext);
    }
    return (!TextUtils.isEmpty(proxyAddress)) && (proxyPort != -1);
}

通过这个方法判断手机是否进行了wifi代理，然后处理网络是否请求。当然这样做局限性比较大，还在不断学习中，大家有什么好的建议可以提出来。

方案二

安卓提供了这个方法

System.setProperty(“key”,"value");
这个方法能够设置代理ip/端口，
对应的参数为:
key:http.proxyHost--这里对应的是ip，System.setProperty("http.proxyHost","ip")；
key:http.proxyPort--这里对应的是端口，同上；
这里介绍只针对http请求，
但是打点发现这里也可以设置https的,但是目前没有亲测,不知道能不能行，
好吧 继续说关于抓数据的事情 你这里可以本机的ip 和端口号，但是你要是不想别      人抓你服务器的数据怎么办？
你可以把你的http.proxyHost的value设置成自己服务器的ip 比如项目开发过程中服务端童鞋给你的接口：
http://test.xx.xx.xx/test/list? 你可以把这个url的的test.xx.xx.xx给截取出来，
当http.proxyHost的value 这样别人在wifi哪里设置的参数就会被这个方法设置的参数所覆盖了，
在wifi哪里设置代理也就没用了，这个方法记得放在请求发送之前，
要是你自己在开发过程中需要抓数据，你只需要开个入口动态设置下这个参数就

使用 Charles 抓取 app 数据包

破解：
Registered Name:https://zhile.io
License Key: 48891cf209c6d32bf4

Charles 是一款非常实用的抓包工具。它通过电脑端代理，拦截网络请求和响应来实现数据包的抓取。支持 http/https。Charles 需要 Java 环境，在安装之前确保已有配置 Java 运行环境。然后到官网下载 Charles 并安装。破解的话，可以使用网友提供的工具： Charles 在线破解。打开 Charles 抓包工具：