Android?App?如何防止抓包方法及分析

更新時間：2023年06月01日 09:30:51 作者：xiangzhihong

這篇文章主要為大家介紹了Android?App如何防止抓包的方法及分析，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進步，早日升職加薪

引言

在軟件開發(fā)中，常用的抓包方式有 Charles 、 Fiddler和Burp，它們通過在手機網(wǎng)絡中添加代理的方式，然后安裝信任證書，接著就可以在 App 請求的時候拿到請求數(shù)據(jù)。不過，這也可能導致一些安全問題，所以對于我們通常的處理方式是，對于線上運行的包，需要防止這些抓包手段。

1，使用無代理 Proxy.NO_PROXY

在Android開發(fā)中，大部分的App的網(wǎng)絡請求都是基于charles 和 fiddler 來進行抓包的，對網(wǎng)絡客戶端使用無代理模式即可防止抓包，代碼如下。

OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()

通常情況下上述的辦法有用，但是無法防住使用 VPN 導流進行的抓包（ Drony + Charles），使用VPN抓包的原理是，先將手機請求導到VPN，再對VPN的網(wǎng)絡進行Charles的代理，繞過了對App的代理。

2，使用證書校驗

此種方式可以有效的防止抓包，需要在App端嵌入證書，下面是證書校驗的一些說明：

下面是使用Okhttp配合X509TrustManager對服務器證書進行校驗的邏輯：如果服務器證書的 subjectDN 和嵌入證書的 subjectDN 一致，我們再進行簽名內(nèi)容 signature 的比對，如果一致則說明合法，否則是不合法的，不進行鏈接操作。
首先，我們需要從本地讀出證書，獲取一個X509Certificate。

val myCrt: X509Certificate by lazy {
    getCrt(R.raw.my_ca)
}
private fun getCrt(@RawRes raw: Int): X509Certificate {
    val certificateFactory = CertificateFactory.getInstance("X.509")
    val input = ApplicationContext.resources.openRawResource(raw)
    input.use {
        return certificateFactory.generateCertificate(input) as X509Certificate
    }
}

然后，檢查服務器證書時對比嵌入的證書是否合法。

private fun getTrustManagerInRelease(): X509TrustManager {
    return object : X509TrustManager {
        override fun checkClientTrusted(chain: Array<X509Certificate>, authType: String?) {}
        override fun getAcceptedIssuers(): Array<X509Certificate> = arrayOf()
        override fun checkServerTrusted(chain: Array<X509Certificate>, authType: String?) {
            val myCrt: X509Certificate = myCrt
            if (chain[0].subjectDN.name == myCrt.subjectDN.name) {
                if (!myCrt.signature!!.contentEquals(chain[0].signature)) {
                    throw SSLHandshakeException("簽名不符！")
                }
            }
        }
    }
}

最后，在每次請求前將自定義的 SSLSocketFactory 和 X509TrustManager 填充到Okhttp 客戶端中。

private fun getClient(ssl: SSLSocketFactory, trustManager: X509TrustManager): OkHttpClient {
        return OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()
    }

經(jīng)過上面的操作后，就基本解決了 Drony + Charles 抓包問題。不過為了安全，很多的銀行類和支付類應用還會進行雙證書的校驗。

以上就是Android App 如何防止抓包方法及分析的詳細內(nèi)容，更多關于Android App防止抓包的資料請關注腳本之家其它相關文章！

您可能感興趣的文章:

Android實現(xiàn)測試環(huán)境噪音分貝
這篇文章主要為大家詳細介紹了Android實現(xiàn)測試環(huán)境噪音分貝，文中示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2022-01-01
Libgdx解決部分Android機型鎖屏崩潰的方法
今天小編就為大家分享一篇關于Libgdx解決部分Android機型鎖屏崩潰的方法，小編覺得內(nèi)容挺不錯的，現(xiàn)在分享給大家，具有很好的參考價值，需要的朋友一起跟隨小編來看看吧
2018-10-10
android 定位的4種方式介紹
開發(fā)中對于地圖及地理位置的定位是我們經(jīng)常要用地，地圖功能的使用使得我們應用功能更加完善，下面總結(jié)了一下網(wǎng)絡中現(xiàn)有對于介紹android定位的4種方式，希望對大家有幫助：
2014-07-07
Android開源組件SlidingMenu側(cè)滑菜單使用介紹
這篇文章主要介紹了Android開源組件SlidingMenu側(cè)滑菜單使用介紹,本文給出了SlidingMenu的項目地址、使用代碼、使用配置、常用的一些屬性設置中文注解等內(nèi)容,需要的朋友可以參考下
2015-01-01
Flutter實戰(zhàn)教程之酷炫的開關動畫效果
這篇文章主要給大家介紹了關于Flutter實戰(zhàn)教程之酷炫的開關動畫效果的相關資料，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2020-11-11
Android布局案例之人人android九宮格
這篇文章主要為大家詳細介紹了Android布局案例之人人android九宮格，感興趣的小伙伴們可以參考一下
2016-03-03
Android自定義View播放Gif動畫的示例
本篇文章主要介紹了Android自定義View播放Gif動畫的示例，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2017-10-10
Android GridView擴展仿微信微博發(fā)圖動態(tài)添加刪除圖片功能
這篇文章主要為大家詳細介紹了Android GridView擴展仿微信微博發(fā)圖動態(tài)添加刪除圖片功能，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2018-05-05
Android recyclerview實現(xiàn)縱向虛線時間軸的示例代碼
本文主要介紹了Android recyclerview實現(xiàn)縱向虛線時間軸的示例代碼，文中通過示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2021-07-07
Android實現(xiàn)創(chuàng)建或升級數(shù)據(jù)庫時執(zhí)行語句
這篇文章主要介紹了Android實現(xiàn)創(chuàng)建或升級數(shù)據(jù)庫時執(zhí)行語句,是比較實用的功能,需要的朋友可以參考下
2014-08-08