Android App 如何防止抓包方法及分析

更新时间：2023年06月01日 09:30:51 作者：xiangzhihong

这篇文章主要为大家介绍了Android App如何防止抓包的方法及分析，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪

引言

在软件开发中，常用的抓包方式有 Charles 、 Fiddler和Burp，它们通过在手机网络中添加代理的方式，然后安装信任证书，接着就可以在 App 请求的时候拿到请求数据。不过，这也可能导致一些安全问题，所以对于我们通常的处理方式是，对于线上运行的包，需要防止这些抓包手段。

1，使用无代理 Proxy.NO_PROXY

在Android开发中，大部分的App的网络请求都是基于charles 和 fiddler 来进行抓包的，对网络客户端使用无代理模式即可防止抓包，代码如下。

OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()

通常情况下上述的办法有用，但是无法防住使用 VPN 导流进行的抓包（ Drony + Charles），使用VPN抓包的原理是，先将手机请求导到VPN，再对VPN的网络进行Charles的代理，绕过了对App的代理。

2，使用证书校验

此种方式可以有效的防止抓包，需要在App端嵌入证书，下面是证书校验的一些说明：

下面是使用Okhttp配合X509TrustManager对服务器证书进行校验的逻辑：如果服务器证书的 subjectDN 和嵌入证书的 subjectDN 一致，我们再进行签名内容 signature 的比对，如果一致则说明合法，否则是不合法的，不进行链接操作。
首先，我们需要从本地读出证书，获取一个X509Certificate。

val myCrt: X509Certificate by lazy {
    getCrt(R.raw.my_ca)
}
private fun getCrt(@RawRes raw: Int): X509Certificate {
    val certificateFactory = CertificateFactory.getInstance("X.509")
    val input = ApplicationContext.resources.openRawResource(raw)
    input.use {
        return certificateFactory.generateCertificate(input) as X509Certificate
    }
}

然后，检查服务器证书时对比嵌入的证书是否合法。

private fun getTrustManagerInRelease(): X509TrustManager {
    return object : X509TrustManager {
        override fun checkClientTrusted(chain: Array<X509Certificate>, authType: String?) {}
        override fun getAcceptedIssuers(): Array<X509Certificate> = arrayOf()
        override fun checkServerTrusted(chain: Array<X509Certificate>, authType: String?) {
            val myCrt: X509Certificate = myCrt
            if (chain[0].subjectDN.name == myCrt.subjectDN.name) {
                if (!myCrt.signature!!.contentEquals(chain[0].signature)) {
                    throw SSLHandshakeException("签名不符！")
                }
            }
        }
    }
}

最后，在每次请求前将自定义的 SSLSocketFactory 和 X509TrustManager 填充到Okhttp 客户端中。

private fun getClient(ssl: SSLSocketFactory, trustManager: X509TrustManager): OkHttpClient {
        return OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()
    }

经过上面的操作后，就基本解决了 Drony + Charles 抓包问题。不过为了安全，很多的银行类和支付类应用还会进行双证书的校验。

以上就是Android App 如何防止抓包方法及分析的详细内容，更多关于Android App防止抓包的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

Android客户端post请求服务器端实例
这篇文章主要介绍了Android客户端post请求服务器端实例,本文讲解了Android客户端与服务器端通信方式、解析服务器端返回数据的解释、用GET和POST访问http资源等内容,并给出了一个POST实例,需要的朋友可以参考下
2015-06-06
Android ViewPager的事件冲突的解决办法
这篇文章主要介绍了Android ViewPager的事件冲突的解决办法的相关资料,需要的朋友可以参考下
2017-06-06
flutter 路由跳转的实现示例
这篇文章主要介绍了flutter 路由跳转的实现示例，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-08-08
Android中点击事件的四种写法详解
本篇文章主要介绍了Android中点击事件的四种写法详解，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-05-05
Android自定义View实现飘动的叶子效果（三）
这篇文章主要为大家详细介绍了Android自定义View实现飘动的叶子效果，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-03-03
Andriod使用多线程实现轮播图片
这篇文章主要介绍了Andriod使用多线程实现轮播图片效果，非常不错，具有参考借鉴价值,需要的朋友可以参考下
2017-10-10
Android开发实现高仿优酷的客户端图片左右滑动切换功能实例【附源码下载】
这篇文章主要介绍了Android开发实现高仿优酷的客户端图片左右滑动切换功能,结合实例形式分析了Android基于ViewPager实现图片切换效果的相关操作技巧,并附带完整工程源码供读者下载参考,需要的朋友可以参考下
2017-11-11
Android开发笔记最好使用eclipse
值得注意一点的是，虽然Myeclipse比eclipse功能更强大，但是在具体的安卓开发过程当中，最好还是选用eclipse，sdk跟eclipse的兼容性更好
2012-11-11
Android WebView组件用法详解
这篇文章主要介绍了Android WebView组件用法,结合实例形式详细分析了Android WebView组件的功能、权限设置、布局及使用技巧,需要的朋友可以参考下
2016-02-02
Android MaterialCardView的使用介绍与示例
MaterialCardView是一个基于Android支持库中的CardView的可自定义组件。 MaterialCardView提供了CardView的所有功能，但增加了一些自定义属性，使用起来更加方便实用
2021-11-11