Пытаясь исследовать частные API в приложениях, установленных на моем Android, я заметил, что большинство современных приложений используют пользовательский сертификат клиента, что означает, что с доверенным корневым сертификатом, установленным на Android, Чарльз по-прежнему не может отслеживать трафик, потому что сервер отклонит рукопожатие от Чарльза. Я предполагаю, что либо мне понадобится другой инструмент для мониторинга трафика, либо мне нужно будет указать Чарльзу использовать какой-то пользовательский файл сертификата, встроенный в само приложение.
Как использовать клиентский сертификат приложения с Чарльзом?
Ответы (1)
Вам нужен этот файл сертификата под рукой (я не знаю, можно ли и как его извлечь из приложения).
Вам также необходимо знать парольную фразу (пароль) для этого сертификата. Чарльз спросит об этом, когда вы впервые подключитесь к выбранному хосту.
Затем просто используйте последнюю версию Charles (проверенную на версии 4.2.1) в меню Прокси -> Настройки SSL-прокси, вкладку Клиентские сертификаты и добавьте сертификат (PKCS ключевой файл #12) для выбранного хоста и порта.
person
Ondřej Stašek
schedule
27.03.2018
Даже если бы вы могли извлечь сертификат клиента, можно ли было бы расшифровать все сообщения?
- person Akababa; 14.07.2019