Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
coderabbit
V2EX  ›  程序员

通过 charles 抓淘宝 app 抓包抓不到数据!

  •   
  •   coderabbit · Nov 15, 2020 · 11131 views
    This topic created in 1994 days ago, the information mentioned may be changed or developed.

    正在做购物车功能,有正常商品,有失效商品!我就是想看下怎么组装返回数据比较合理。然后我淘宝购物车里放了上百件商品,过期商品一大堆。然后我就想抓包看下返回结果,结果别的 app 都能抓到数据淘宝的抓不到。淘宝是用了啥特异功能嘛!

  • 淘宝
  • 购物车
  • 商品
  • 特异功能
    26 replies    2020-11-16 16:35:55 +08:00
    blueaurora
        1
    blueaurora  
       Nov 15, 2020
    线上接口自然都是加密的.. 不只是 https 的加密.. 别的 app 都能抓到? 大型 App 都应该抓不到吧
    coderabbit
        2
    coderabbit  
    OP
       Nov 15, 2020
    @blueaurora 京东的我都能看到数据的!淘宝是请求都没有都没有看到。但是界面数据是拉回来了的!
    lcy630409
        3
    lcy630409  
       Nov 15, 2020
    都可以抓,有一些 app 都是乱码,即使装了根证书。
    你把淘宝大退一下 再进来,如果已经开启淘宝的状态下再用代理,app 是还会用之前的网络连接的。
    newee
        4
    newee  
       Nov 15, 2020
    笑了 因为某宝没有用 http 协议
    whimsySun
        5
    whimsySun  
       Nov 15, 2020   ❤️ 8
    上了 https 并且用了 ssl pinning,就抓不到包了
    zhuziyi
        6
    zhuziyi  
       Nov 15, 2020 via iPhone
    做了反抓包处理。
    AkideLiu
        7
    AkideLiu  
       Nov 15, 2020 via iPhone
    不了解淘宝技术如何。
    charles 抓过 Google,onedrive,canvas 。都是 https,都可以抓到 api
    ob
        8
    ob  
       Nov 15, 2020
    淘宝和微信的都抓过,遇到同样的问题,做了各种加密反抓包处理,不太好抓。
    miyuki
        9
    miyuki  
       Nov 15, 2020 via Android
    ssl pinning
    客户端只认特定证书,即使系统已信任
    jesse_luo
        10
    jesse_luo  
       Nov 16, 2020
    1 走了 TCP 长连接或者其他协议,不走 HTTP,用 wireshark 抓
    2 内容二进制协议,加密
    3 反爬
    DoctorCat
        11
    DoctorCat  
       Nov 16, 2020
    大概率 ssl pinning
    zxc12300123
        12
    zxc12300123  
       Nov 16, 2020 via iPhone
    就是 SSL pinning
    ColoThor
        13
    ColoThor  
       Nov 16, 2020
    可能有些请求是 tcp 长连接什么的,支付宝就是这样
    knightdf
        14
    knightdf  
       Nov 16, 2020
    ssl pinning, charles+shadowrocket 试试
    dcty
        15
    dcty  
       Nov 16, 2020
    看不到请求,能返回数据,那可能不是用的 http 协议。
    maskerTUI
        16
    maskerTUI  
       Nov 16, 2020
    用了 SSL pinning,安卓的话使用 xposed+justtrustme 可以破,ios 需要越狱+SSL Kill Switch 。
    shawndev
        17
    shawndev  
       Nov 16, 2020
    https + ssl pinning, 或者 http method connect
    cwyalpha
        18
    cwyalpha  
       Nov 16, 2020
    搭车问一下 想做一些 apk 逆向或者抓包的工作,需要 root 、xpose 、justtrustme 这类工具,选哪个安卓比较标准方便 root ?
    cwyalpha
        19
    cwyalpha  
       Nov 16, 2020
    搭车问一下 想做一些 apk 逆向或者抓包的工作,需要 root 、xpose 、justtrustme 这类工具,选哪个安卓 [手机] 比较标准方便 root ?
    knightdf
        20
    knightdf  
       Nov 16, 2020
    @cwyalpha 模拟器欢迎你
    fantastM
        21
    fantastM  
       Nov 16, 2020   ❤️ 1
    可以在浏览器上抓 m.taobao.com 上的请求
    huruwo
        22
    huruwo  
       Nov 16, 2020
    frida 脚本 解开 详见 https://blog.csdn.net/qq_34067821/article/details/103203549
    setTimeout(function () {
    console.log('start——*-*-*-*-*-');
    Java.perform(function () {
    var SwitchConfig = Java.use('mtopsdk.mtop.global.SwitchConfig');
    SwitchConfig.isGlobalSpdySwitchOpen.overload().implementation = function () {
    var ret = this.isGlobalSpdySwitchOpen.apply(this, arguments);
    console.log("开启抓包" + ret);
    return false;
    }
    });
    });
    huruwo
        23
    huruwo  
       Nov 16, 2020
    @cwyalpha 是 xposed 按道理是谷歌亲儿子没错了 其实国产的小米魅族一加都可以 可以 root 就行
    Lemeng
        24
    Lemeng  
       Nov 16, 2020
    大公司的加密费神。尤其是阿里和腾讯,试过淘宝微信,费神
    bruce0
        25
    bruce0  
       Nov 16, 2020
    大概率是 app 内置了证书, 后端只信任自己的证书,不信任系统的
    可以看一下这个
    https://zhuanlan.zhihu.com/p/46433599
    tu9oh0st
        26
    tu9oh0st  
       Nov 16, 2020
    可以试试 socket
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2535 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 78ms · UTC 08:27 · PVG 16:27 · LAX 01:27 · JFK 04:27
    ♥ Do have faith in what you're doing.