MASTG-TECH-0120: 使用拦截代理拦截 HTTP 流量

拦截代理是拦截移动应用程序流量最常用的方法。它们的工作原理是设置一个代理服务器，该服务器拦截并记录移动应用程序和服务器之间的所有 HTTP/HTTPS 流量。这允许您实时查看和修改请求和响应。

有几种免费和商业代理工具可用。 例如： mitmproxy， Burp Suite 和 ZAP。

将流量重新路由到代理

要使用拦截代理，您需要在主机上运行它，并将移动应用程序配置为将 HTTP(S) 请求路由到您的代理。 在大多数情况下，在移动设备的网络设置中设置系统范围的代理就足够了 - 如果应用程序使用标准 HTTP API 或流行的库（如 okhttp），它将自动使用系统设置。

安装代理证书

使用拦截代理会破坏 SSL 证书验证，并且应用程序通常无法启动 TLS 连接。 因此，拦截代理要求您在移动设备上安装自定义 CA 证书，这允许代理解密和检查加密的 HTTPS 流量。 根据平台的不同，应用程序可能会或可能不会自动信任已安装的证书。 此外，某些应用程序会实现证书锁定，这需要额外的精力才能绕过。

各平台说明

• Android：请参阅 设置拦截代理
• iOS：请参阅 设置拦截代理