MITM代理忽略Android应用程序的SSL证书验证

syqv5f0l  于 2022-11-14  发布在  Android
关注(0)|答案(2)|浏览(508)
问题描述

尝试使用反向网络共享从Android设备捕获流量,然后将流量代理到mitmproxy,我们已在设备中安装了MITM证书。浏览器流量运行正常,但应用程序流量出现SSL证书错误。也尝试使用--ssl-insecure标志,但不起作用。

重现该行为的步骤:

1.运行MITM代理
1.使用反向网络共享和代理链将流量转发到代理。
1.在设备中安装MITM证书
1.浏览器通信正常(HTTP和HTTPS),但应用程序通信不正常,导致证书错误。
1.也使用了路径tls_passthrough。一半的应用程序流量可以工作,但像amazon这样的应用程序仍然无法工作,因为SSL绑定
如何绕过SSL证书验证?

系统信息

在Ubuntu和Android上使用版本6和7进行检查。

dgenwo3n

dgenwo3n1#

--ssl-insecure控制mitmproxy是否验证从上游服务器接收的证书。这不会影响客户端检查mitmproxy生成的证书的方式。
如果客户端不信任mitmproxy,你需要在客户端上修复这个问题。Robert在评论中专门为Android提供了一些指针。

wbgh16ku

wbgh16ku2#

我发现更改选项以禁用HTTP 2对我很有效:
启用/禁用HTTP/2支持。默认情况下启用HTTP/2支持。

相关问题