我想用Burp Suite代理一个Android应用程序。该应用程序通过OkHttp3使用证书固定。我通过修改源代码解决了这个问题,现在应用程序接受Burp Suite的CA生成的证书。
该应用程序还使用客户端证书固定。该应用程序将生成一个新证书(私钥,公钥)。向服务器的第一个请求是“证书签名请求”,其中包括登录凭据和新生成的证书的公共密钥。服务器通常会通过批准请求来做出响应,但是如果我通过Burp Suite运行Android模拟器,则服务器会出现错误。
我尝试了以下操作(通过修改源代码):
我不明白,为什么服务器拒绝代理请求,如何知道它不是来自客户端的?代理更改请求期间会发生什么?