whistle 工具抓包使用实践(含https和移动端)

1. 简介

一个简单易用,而且完全免费的抓包工具

2. 使用

npm i whistle --global
w2 start

轻松启动,然后根据提示在浏览器打开相应的监听窗口
image.png

image.png

3. 使用proxy switch omega 代理

搜索谷歌网上商店,搜这个名字,安装插件。
image.png

更改配置,然后选择启用这个配置。

image.png

4.监听HTTPS

image.png

  1. windows用户,下载打开,然后装的时候一定要装在 受信任的证书颁发机构列表
    image.png
  2. mac用户,同样也是信任
    image.png
    image.png
一定要将证书安装到受信任的证书机构。如果你没有安装证书,然后又勾选了Capture TUNNEL CONNECTs,那么点开网页会提示一个受保护的xxx的警告。

5. 重启浏览器(这一步很重要)

6. 手机抓包

手机连接和电脑同一个wifi,并且wifi设置手动代理到该ip和端口。比如这里就是代理到 10.227.42.125:8899

然后扫HTTPS的二维码下载即可。

如果没办法下载,那么可以考虑自己起一个下载服务,然后电脑下载好的内容传输给手机。(安卓手机直接微信发给手机打开就行,但是ios要求一定要访问某个网页来下载的,什么几把玩意儿,而且IOS一定要使用safari浏览器打开,其他浏览器打开无法下载证书)

如下是一个 express 服务的简单示例片段,手机和pc同一wifi即可访问该服务即可下载证书。

如果路由器开启了 AP隔离 那么同一wifi下的不同设备是不可以相互访问的,需要注意!前面的设置代理扫码无法下载也可能是因为这个原因!
# 直接快速生成一个express应用
npx express-generator
// 更改router/index,记得要把静态文件放在public下,然后启动服务即可。
var express = require('express');
var router = express.Router();

router.get('/', function(req, res, next) {
  res.download('public/rootCA.pem');
});

module.exports = router;

想学唱歌的码农

3.9k 声望
388 粉丝
0 条评论
推荐阅读
《JavaScript二十年》阅读整理
春节假期因为没有win电脑回家,所以才有时间静下心来看会儿书。这次读的是《JavaScript二十年》,书籍主要介绍了语言诞生以及一些阶段性的发展里程碑,能学到的有用知识不会太多,如果你还没看过红宝书或者《你不...

李大雷阅读 400

拒绝裸奔,为 Elasticsearch 设置账号密码(qbit)
前言2019 年 5 月 21 日,Elastic 官方博客发文称,ES 6.8 和 7.1 免费开放基本的安全功能。包括: {代码...} 铭毅天下解读: Elasticsearch 7.1免费安全功能全景认知阮一鸣《Elasticsearch核心技术与实战》有对...

qbit阅读 6.5k

gitlab-ce将https修改为http
索性我们禁用gitlab的https功能,将期恢复为http。后期我们再在部署一个nginx进行数据转发,然后在nginx上起用https并设置证书。这样应该就规避了gitlab的证书错误问题。

myskies1阅读 651

微信小程序开发--个性化头像生成(国庆渐变头像、圣诞帽头像)
今年国庆 渐变头像着实火了一把,看到微信里面的好友,很多都换上了新颜。 如上图所示,一个渐变的头像。作为码农,看到上面的效果,首先会想到这个是怎么实现的?我可不可以?于是就有了今天这篇文章,记录一下...

caiandroidDev阅读 1.9k

gitlab-ce使用nginx做反向代理的方式启用https
由于某些未知的原因,gitlab-ce的https近期出现了问题,被chrome识别出是非安全的连接。索性我们将了gitlab-ce的https改为http。但当下https基本上已经成为了标准,不启用https好像有点说不过去。

myskies阅读 779

HTTPS 是这样握手的
HTTP协议默认是明文传输,存在一定的安全隐患,容易被中间人窃听和攻击,在 加密解决HTTP协议带来的安全问题 中提到使用哈希、对称加密、非对称加密等方式对数据加密,能解决数据安全的问题。

一颗冰淇淋阅读 677

使用nodejs的http和https下载远程资源,post数据
经常用到nodejs下载资源的情况(简单的爬虫),可以考虑直接使用nodejs内置的http/https模块。test.mjs {代码...} post数据 {代码...}

jsoncode阅读 546

想学唱歌的码农

3.9k 声望
388 粉丝
宣传栏