Android App 如何防止抓包方法及分析

更新时间：2023年06月01日 09:30:51 作者：xiangzhihong

这篇文章主要为大家介绍了Android App如何防止抓包的方法及分析，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪

引言

在软件开发中，常用的抓包方式有 Charles 、 Fiddler和Burp，它们通过在手机网络中添加代理的方式，然后安装信任证书，接着就可以在 App 请求的时候拿到请求数据。不过，这也可能导致一些安全问题，所以对于我们通常的处理方式是，对于线上运行的包，需要防止这些抓包手段。

1，使用无代理 Proxy.NO_PROXY

在Android开发中，大部分的App的网络请求都是基于charles 和 fiddler 来进行抓包的，对网络客户端使用无代理模式即可防止抓包，代码如下。

OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()

通常情况下上述的办法有用，但是无法防住使用 VPN 导流进行的抓包（ Drony + Charles），使用VPN抓包的原理是，先将手机请求导到VPN，再对VPN的网络进行Charles的代理，绕过了对App的代理。

2，使用证书校验

此种方式可以有效的防止抓包，需要在App端嵌入证书，下面是证书校验的一些说明：

下面是使用Okhttp配合X509TrustManager对服务器证书进行校验的逻辑：如果服务器证书的 subjectDN 和嵌入证书的 subjectDN 一致，我们再进行签名内容 signature 的比对，如果一致则说明合法，否则是不合法的，不进行链接操作。
首先，我们需要从本地读出证书，获取一个X509Certificate。

val myCrt: X509Certificate by lazy {
    getCrt(R.raw.my_ca)
}
private fun getCrt(@RawRes raw: Int): X509Certificate {
    val certificateFactory = CertificateFactory.getInstance("X.509")
    val input = ApplicationContext.resources.openRawResource(raw)
    input.use {
        return certificateFactory.generateCertificate(input) as X509Certificate
    }
}

然后，检查服务器证书时对比嵌入的证书是否合法。

private fun getTrustManagerInRelease(): X509TrustManager {
    return object : X509TrustManager {
        override fun checkClientTrusted(chain: Array<X509Certificate>, authType: String?) {}
        override fun getAcceptedIssuers(): Array<X509Certificate> = arrayOf()
        override fun checkServerTrusted(chain: Array<X509Certificate>, authType: String?) {
            val myCrt: X509Certificate = myCrt
            if (chain[0].subjectDN.name == myCrt.subjectDN.name) {
                if (!myCrt.signature!!.contentEquals(chain[0].signature)) {
                    throw SSLHandshakeException("签名不符！")
                }
            }
        }
    }
}

最后，在每次请求前将自定义的 SSLSocketFactory 和 X509TrustManager 填充到Okhttp 客户端中。

private fun getClient(ssl: SSLSocketFactory, trustManager: X509TrustManager): OkHttpClient {
        return OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()
    }

经过上面的操作后，就基本解决了 Drony + Charles 抓包问题。不过为了安全，很多的银行类和支付类应用还会进行双证书的校验。

以上就是Android App 如何防止抓包方法及分析的详细内容，更多关于Android App防止抓包的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

Android实现测试环境噪音分贝
这篇文章主要为大家详细介绍了Android实现测试环境噪音分贝，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2022-01-01
Libgdx解决部分Android机型锁屏崩溃的方法
今天小编就为大家分享一篇关于Libgdx解决部分Android机型锁屏崩溃的方法，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧
2018-10-10
android 定位的4种方式介绍
开发中对于地图及地理位置的定位是我们经常要用地，地图功能的使用使得我们应用功能更加完善，下面总结了一下网络中现有对于介绍android定位的4种方式，希望对大家有帮助：
2014-07-07
Android开源组件SlidingMenu侧滑菜单使用介绍
这篇文章主要介绍了Android开源组件SlidingMenu侧滑菜单使用介绍,本文给出了SlidingMenu的项目地址、使用代码、使用配置、常用的一些属性设置中文注解等内容,需要的朋友可以参考下
2015-01-01
Flutter实战教程之酷炫的开关动画效果
这篇文章主要给大家介绍了关于Flutter实战教程之酷炫的开关动画效果的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-11-11
Android布局案例之人人android九宫格
这篇文章主要为大家详细介绍了Android布局案例之人人android九宫格，感兴趣的小伙伴们可以参考一下
2016-03-03
Android自定义View播放Gif动画的示例
本篇文章主要介绍了Android自定义View播放Gif动画的示例，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-10-10
Android GridView扩展仿微信微博发图动态添加删除图片功能
这篇文章主要为大家详细介绍了Android GridView扩展仿微信微博发图动态添加删除图片功能，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2018-05-05
Android recyclerview实现纵向虚线时间轴的示例代码
本文主要介绍了Android recyclerview实现纵向虚线时间轴的示例代码，文中通过示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2021-07-07
Android实现创建或升级数据库时执行语句
这篇文章主要介绍了Android实现创建或升级数据库时执行语句,是比较实用的功能,需要的朋友可以参考下
2014-08-08