抛个砖,希望各位能够参与进来yi'qi讨论
App抓包原理
-
客户端向服务器发起HTTPS请求
-
抓包工具拦截客户端的请求,伪装成客户端向服务器进行请求
-
服务器向客户端(实际上是抓包工具)返回服务器的CA证书
-
抓包工具拦截服务器的响应,获取服务器证书公钥,然后自己制作一张证书,
将服务器证书替换后发送给客户端。(这一步,抓包工具拿到了服务器证书的公钥) -
客户端接收到服务器(实际上是抓包工具)的证书后,生成一个对称密钥,
用抓包工具的公钥加密,发送给“服务器”(抓包工具) -
抓包工具拦截客户端的响应,用自己的私钥解密对称密钥,然后用服务器证书公钥加密,
发送给服务器。(这一步,抓包工具拿到了对称密钥) -
服务器用自己的私钥解密对称密钥,向客户端(抓包工具)发送响应
-
抓包工具拦截服务器的响应,替换成自己的证书后发送给客户端
爬虫的本质就是「骗」过服务器,各种反反爬手段就是增强信任的过程,不停的让服务器相信你是自己人
如果你被反爬了,就是你骗术不精,被发现了。
