一、问题背景与核心挑战

在移动应用安全测试中，使用Burp Suite抓取HTTPS流量是常规操作。然而，由于现代App普遍采用安全增强机制，导致抓包失败的情况频繁发生。最典型的错误提示包括“SSL handshake failed”和“Certificate not trusted”，其根源主要集中在以下三个方面：

1. 证书绑定（Certificate Pinning）：App将特定服务器证书或公钥硬编码，拒绝接受任何第三方CA签发的证书，包括Burp生成的中间人证书。
2. Android系统信任模型变化：自Android 7（API 24）起，默认情况下应用不再信任用户安装的CA证书，必须将Burp CA证书移至系统级受信任凭据目录。
3. 代理检测与双向认证：部分App通过检测环境变量、网络延迟、证书指纹等方式识别代理行为；少数金融类App甚至启用mTLS（双向TLS），要求客户端提供有效证书。

二、分层分析：从基础到高级障碍

三、解决方案路径图谱

# 常见绕过步骤概览
1. 导出Burp CA证书（cacert.der）并转换为系统兼容格式
2. 将证书推送至Android设备 /system/etc/security/cacerts/
3. 修改文件权限：chmod 644 <hash>.0
4. 使用Frida或Xposed框架Hook SSL相关API
5. 利用Magisk模块自动注入系统证书
6. 动态Patch APK，移除CertificatePinner调用
7. 启动App时附加Frida脚本禁用pinning逻辑
8. 配合Objection等工具实现自动化绕过

    

四、实战案例：Android App证书绑定绕过流程

五、高级技巧：基于Frida的运行时Hook方案

对于无法静态修改的加固App，可采用动态插桩方式。以下为通用Frida脚本片段，用于绕过OkHttp的证书绑定：

Java.perform(function () {
    var CertificatePinner = Java.use('okhttp3.CertificatePinner');
    CertificatePinner.check.overloads.forEach(function (overload) {
        overload.implementation = function (hostname, chain) {
            console.log("[*] Bypassing CertificatePinner for " + hostname);
            return;
        };
    });
});
    

该脚本通过拦截CertificatePinner.check()方法调用，直接返回而不执行实际校验，从而实现运行时绕过。适用于大多数基于OkHttp实现pinning的应用场景。

六、iOS平台特殊处理策略

iOS系统同样存在类似限制，但解决路径略有不同：

• 需在设置中手动启用已安装的Burp证书为“完全信任”状态。
• iOS 10.3+要求在“设置 → 通用 → 关于本机 → 证书信任设置”中开启对特定CA的信任。
• 对于启用ATS（App Transport Security）且配置严格规则的应用，可能需要越狱后使用SSLKillSwitch2工具全局禁用SSL验证。
• 利用frida-ios-dump等工具提取IPA并分析NSURLSessionConfigurations中的pinned domains。