1>是否可以获取从Android应用程序发出的http post请求的终点?
2 - ;是否可以获取该请求的参数(键和值)?
如果无法获取确切的终点&从Android设备发出的帖子请求的参数列表,我们可以假设很难破解那个特定的终点吗?
编辑1:
说,在我的Android应用程序中,我使用了一个端点,如http://abc.xyz.com/buyItem,带有2个参数:itemCode = value1,price = value2
(how)url,参数列表&价值是由黑客取得的?
答案 0 :(得分:1)
是的,可以监控网络流量并获取这些值。
使用基本(廉价)网络集线器(不是交换机)和PC连接以及一些网络工具(如tcpdump或ngrep)设置非常简单。
tcpdump示例为:
tcpdump -A -i eth3 > t.dump
将eth3更改为您的网络界面。您可以在文本编辑器中查看文件t.dump,也可以使用less或more。
注意: SSL / HTTPS连接已加密,因此tcpdump只会通过HTTP为您提供参数。
还有其他方法。
您可以很幸运,只需将apk和grep解压缩为://之类的内容即可。例如
grep -R '://' ./unpacked-apk/*
更新:添加了tcpdump示例。
答案 1 :(得分:0)
我建议将Fiddler用于此目的,它是一个具有良好UI的工具,您不需要编写任何复杂的命令行命令。 Here是一篇关于如何配置Fiddler以捕获Nexus设备上的流量的文档文章。