移动应用调试里,App HTTPS 抓包 是最常被问到的技能:要看请求头、定位签名问题、验证鉴权流程,或者分析异常重试。实际操作比网页抓包复杂------多了证书信任、SSL Pinning、客户端证书(mTLS)和系统级噪声等障碍。下面从实战出发,讲清能做什么、该用哪些工具、常见卡点如何排查,以及在无法修改 App 时的可行替代方案。
一、能抓到什么、为什么抓不到
抓包的目标通常是:请求 URL / Headers / Body / 响应状态与内容。HTTPS 的加密意味着:要么把代理证书装到设备并信任(代理解密),要么无法看到明文而只能分析 TLS 握手与时序。App 抓不到包常见原因:代理未配置、证书未信任、App 做了 SSL Pinning、使用 mTLS 或企业网络拦截。
二、工具与分工(建议组合)
- Charles / Proxyman / Fiddler:首选日常调试,适合快速查看与重放;需设备走 Wi-Fi 代理并安装 CA。
- mitmproxy:脚本化、适合自动化测试与批量 mock。
- Burp Suite:安全测试与流量篡改、漏洞挖掘。
- Wireshark / tcpdump:当无法解密时做底层握手、重传、丢包分析。
- 抓包大师(Sniffmaster):当 App 启用 Pinning、mTLS 或网络限制导致代理失效时,Sniffmaster 的 USB 直连按 App 抓取与导出 PCAP 能成为"最后一招"。它能减少噪声,直接抓真机流量并辅助定位握手/证书问题。
三、实操步骤(按优先级)
- 基础验证:用浏览器在设备上访问 http/https 页面,确认代理 IP/端口和 CA 是否生效。
- 在代理中开启 HTTPS 解密,针对域名设置白名单,触发 App 请求观察是否出现明文。
- 如果只有 CONNECT 或握手失败:检查 iOS 的"证书信任设置"、Android 的证书安装方式,或尝试手机热点排除公司网络。
- App 可抓但数据乱码:检查 Content-Encoding(gzip/brotli)、HTTP/2 分帧或应用层加密(如 Protobuf)。
- 若 App 仍不可抓(Pinning/mTLS):先和后端确认是否能临时使用测试证书;若不能,使用 Sniffmaster USB 直连抓取 PCAP,然后用 Wireshark 分析 ClientHello/Certificate/Alert。
四、常见问题与快速对策
- 只在模拟器可抓、真机不行:证书信任或系统网络不同,优先在真机安装并信任 CA。
- App 报证书错误但浏览器正常:极可能为 SSL Pinning;在测试环境用测试构建关闭 Pinning,或用直连抓包。
- 双向认证出问题:确认客户端证书是否正确安装、Keychain 权限是否授予;用 curl 带 p12 模拟验证。
- 企业网络影响:换到手机热点,或在抓包机上做 tcpdump 看是否有中间设备篡改。
把抓包流程标准化:先用代理做快速验证(Charles/Proxyman)→ 若需自动化或异常注入用 mitmproxy → 若遇 Pinning/mTLS 或真机限制,用抓包大师(Sniffmaster)直连导出 PCAP → 用 Wireshark 做握手与网络层深度分析。把每步形成检查清单(代理、证书、网络、Pinning、mTLS、底层包)能把绝大多数问题工程化解决。