专栏首页测吧测试开发接口测试实战 | Android 高版本无法抓取 HTTPS,怎么办?
原创

接口测试实战 | Android 高版本无法抓取 HTTPS,怎么办?

本文为霍格沃兹测试学院 @yuye 同学的接口测试实践笔记。

在接口测试中,相信很多人都遇到过 Android 高版本(Android7.0 以上)系统无法抓包的问题。

由于在测试过程中对分析定位问题很不方便,所以就想找开发的同学帮忙,结果开发也说搞不定,那只能自己解决了。

问题分析

问题原因分析如下:

  • 问题:Android6.0 及以下系统可以抓包,而 Android7.0 及以上系统不能抓包;
  • 原因:Android7.0+ 的版本新增了证书验证,所以 App 内不再像原来一样默认信任用户的证书;

参考网上资料得到如下解决方案:

方案一

在 Android 工程目录的 res 底下创建一个 xml 文件夹,然后在内部创建一个名为 “network_security_config.xml”的文件;

<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" overridePins="true" />
            <certificates src="user" overridePins="true" />
        </trust-anchors>
    </base-config>
</network-security-config>

在 AndroidManifest 里的标签中,添加代码:

android:networkSecurityConfig="@xml/network_security_config"

然后重新编译打包即可抓包,这对开发童鞋来说,也很方便。但是,因为测试的是企业微信小程序,想让企业微信的开发人员帮我这么干,简直是白日做梦,更不用说安全等问题...

方案二

找一个低于 6.0 或者等于 6.0 版本的 Android 设备或者模拟器,即可解决。但是考虑到:治标不治本,公司本身就没有这样的设备,再加上找了几个模拟器,都是 Android7.0 版本的,所以此方案,直接选择放弃。

然后只好再去找开发,开发研究了半天,结果过来告诉我,我的 iOS 是可以抓包的啊,Android 的就不知道了,一瞬间我都有点想掀桌子了......

只好再找测试开发同学咨询解决方案:

  1. 使用方案一
  2. 换个工具抓,例如 Fidder,或者 BurpSuite 等(这个尝试后发现还是不行)
  3. 直接去 NG那里拦截,但是我需要抓取的有一部分是第三方的接口(前方已经高能,此路不通)

最后,还是有点不死心,自己继续搜索各种资料,终于黄天不负有心人,找到了满足条件的最终解决方法。

最终解决方案

Charles + VirtualXposed + JustTrustMe

实现步骤

进入 Github 下载如下两个 Page

第一步

使用如下 adb 命令分别安装两个 pages

adb -s R3J6R19B20004228 inatall VirtualXposed
adb -s R3J6R19B20004228 install JustTrustMe

第二步

安装完成进入 VirtualXposed apk 应用,点击 6 个小点进入设置页面

第三步

进入设置页面,点击模块管理,勾选 JustTrustMe(当然我并没有找到它,可能是我这个版本不需要在手动选择了,安装之后自动识别到了)重启之后我们重新进去设置页面,添加我们需要抓包的应用即可,我这里选择的企业微信做案例。

第四步

点击添加应用,选择需要抓包的软件安装:

配置 Charles 抓包

设置 Charles 代理,此处不再说明,相信设置代理大家能自己解决,手机设置 wifi 里面代理改成手动。输入IP,端口:默认8888,注意手机和电脑在一个 wifi 下就 ok。

第六步

回到 VirtualXposed 上滑解锁,打开我们之前安装的企业微信,则发现 charles 已经成功抓取到安居客的 HTTPS 的数据包:

总结

测试工作中,遇到问题/bug 经常会让人很烦很慌,不知所措。但是,作为一个合格的测试人员,遇到事情,还是要努力做到「泰山崩于前而色不改,麋鹿兴于左而目不瞬」(秀文采~),连开发都放弃了,咱还能保持淡定,方显测试英雄本色!🆒

技术进阶没有捷径,唯有一步步积累,踏坑填坑坚持走下去。这次的问题虽几经波折,但我最终搞定之后,开发看我的眼神都不一样了,以后提 bug 也更加有说服力了。😄

更多技术文章分享及测试资料点此获取

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 快速搞定 uiautomator2 自动化测试工具使用

    Google 官方提供了一个 Android 自动化测试工具(Java 库),基于 Accessibility 服务,功能很强,可以对第三方 App 进行测试,...

    霍格沃兹测试开发
  • REST-assured 获取日志到文件并结合 Allure 报告进行展示

    使用 Rest-assured 集合 Allure 运行完用例之后,在生成的报告中只有断言信息,没有请求的日志信息。而当我们的用例失败时,特别是接口失败时,请求...

    霍格沃兹测试开发
  • 微信小程序自动化测试最佳实践(附 Python 源码)

    随着微信小程序的功能和生态日益完善,很多公司的产品业务形态逐渐从 App 延升到微信小程序、微信公众号等。小程序项目页面越来越多,业务逻辑也越来越复杂,全手工测...

    霍格沃兹测试开发
  • python: reverse & reversed 函数

    JNingWei
  • 第129天:node.js安装方法

    cmd打开命令框,找到自己的less文件的根目录,复制路径到命令行中,按Enter执行。注意,D:是换到D盘下,cd是打开目录

    半指温柔乐
  • 谭东宇:智慧城市最后一公里 —— 数字化园区建设

    12月15日,由腾讯云主办的首届“腾讯云+社区开发者大会”在北京举行。本届大会以“新趋势•新技术•新应用”为主题,汇聚了超40位技术专家,共同探索人工智能、大数...

    云加社区技术沙龙
  • Android从启动到程序运行发生的事情

    好久没有写博客了,瞬间感觉好多学了的东西不进行一个自我的总结与消化总归变不成自己的。通过博客可能还可以找到一些当初在学习的时候没有想到的问题。想了半天,从大二...

    魏晓蕾
  • 张高兴的 Xamarin.Android 学习笔记:(一)环境配置

    张高兴
  • Ruby设计模式透析之 —— 单例(Singleton)

    Java设计模式透析之 —— 单例(Singleton) 写软件的时候经常需要用到打印日志功能,可以帮助你调试和定位问题,项目上线后还可以帮助你分析数据,但是...

    用户1158055
  • Android查缺补漏(View篇)--事件分发机制源码分析

    在上一篇博文中分析了事件分发的流程及规则,本篇会从源码的角度更进一步理解事件分发机制的原理,如果对事件分发规则还不太清楚的童鞋,建议先看一下上一篇博文 《And...

    codingblock

扫码关注云+社区

领取腾讯云代金券