通过 charles 抓淘宝 app 抓包抓不到数据！

线上接口自然都是加密的.. 不只是 https 的加密.. 别的 app 都能抓到？ 大型 App 都应该抓不到吧

@blueaurora 京东的我都能看到数据的！淘宝是请求都没有都没有看到。但是界面数据是拉回来了的！

都可以抓，有一些 app 都是乱码，即使装了根证书。
你把淘宝大退一下 再进来，如果已经开启淘宝的状态下再用代理，app 是还会用之前的网络连接的。

笑了 因为某宝没有用 http 协议

上了 https 并且用了 ssl pinning，就抓不到包了

做了反抓包处理。

不了解淘宝技术如何。
charles 抓过 Google，onedrive，canvas 。都是 https，都可以抓到 api

淘宝和微信的都抓过，遇到同样的问题，做了各种加密反抓包处理，不太好抓。

ssl pinning
客户端只认特定证书，即使系统已信任

1 走了 TCP 长连接或者其他协议，不走 HTTP，用 wireshark 抓
2 内容二进制协议，加密
3 反爬

大概率 ssl pinning

就是 SSL pinning

可能有些请求是 tcp 长连接什么的，支付宝就是这样

ssl pinning, charles+shadowrocket 试试

看不到请求，能返回数据，那可能不是用的 http 协议。

用了 SSL pinning，安卓的话使用 xposed+justtrustme 可以破，ios 需要越狱+SSL Kill Switch 。

https + ssl pinning， 或者 http method connect

搭车问一下 想做一些 apk 逆向或者抓包的工作，需要 root 、xpose 、justtrustme 这类工具，选哪个安卓比较标准方便 root ？

搭车问一下 想做一些 apk 逆向或者抓包的工作，需要 root 、xpose 、justtrustme 这类工具，选哪个安卓 [手机] 比较标准方便 root ？

@cwyalpha 模拟器欢迎你

可以在浏览器上抓 m.taobao.com 上的请求

frida 脚本 解开 详见 https://blog.csdn.net/qq_34067821/article/details/103203549
setTimeout(function () {
console.log('start——*-*-*-*-*-');
Java.perform(function () {
var SwitchConfig = Java.use('mtopsdk.mtop.global.SwitchConfig');
SwitchConfig.isGlobalSpdySwitchOpen.overload().implementation = function () {
var ret = this.isGlobalSpdySwitchOpen.apply(this, arguments);
console.log("开启抓包" + ret);
return false;
}
});
});

@cwyalpha 是 xposed 按道理是谷歌亲儿子没错了 其实国产的小米魅族一加都可以 可以 root 就行

大公司的加密费神。尤其是阿里和腾讯，试过淘宝微信，费神

大概率是 app 内置了证书, 后端只信任自己的证书,不信任系统的
可以看一下这个
https://zhuanlan.zhihu.com/p/46433599

可以试试 socket