簡單對遇到的 APP 不好抓包的情況做個總結，篇幅較短只講述方法，沒有實戰。

單向認證的APP

•單向驗證的情況是客戶端校驗證書，校驗出錯就無法訪問•雙向認證的情況是客戶端校驗證書的時候，服務端也要校驗證書，有一端證書校驗失敗都無法訪問數據。缺點是伺服器的壓力比較大

一般是使用 JustTrustMe

原理是通過 Xpose Hook 校驗的 API

APP不走代理

•關閉代理伺服器（fiddler等代理抓包工具）•使用手機訪問瀏覽器網頁訪問失敗，確定代理失效•使用APP訪問，正常訪問確定 APP 不走代理訪問網路

•更換不基於代理類型的抓包工具（HTTP Analyzer V7–缺點沒辦法用在真機、HTTP Debug Pro、手機端的HttpCanary-基於VPN）•hook – 先反編譯看看他是使用了那個框架，然後針對性的hook — 菜雞勸退•iptables 強制攔截轉發

代理檢測的APP

掛上代理之前APP訪問正常，掛上代理之後APP無法使用顯示網路出錯等情況

•代理檢測（hook 代理檢測的方法）•證書檢測（用 JustTrustMe ）

雙向認證的情況是客戶端校驗證書的時候，服務端也要校驗證書，有一端證書校驗失敗都無法訪問數據。

不過在雙向認證的APP中要做到雙向驗證，在APP中一般要配置好伺服器端驗證的證書，所以在客戶端中我們可以找到一個服務端的證書，我們只要在 Fiddler 中配置好這個證書就可以請求了。

ps：證書一般帶有密碼，需要反編譯找到密碼，之後導入至系統當中，再從系統中導出為 .cer 證書格式，之後在 FiddlerScript 中配置即可。