没有限制过滤的抓包问题：

1、抓不到-工具证书没配置好

2、抓不到-app走的不是http/s

有限制过滤的抓包问题：

3、抓不到-反模拟器调试

4、抓不到-反代理VPN

5、抓不到-反证书检验

做移动安全测试时，设置好了代理，但抓不到数据包

反抓包Demo：https://github.com/AndroidAppSec/vuls

反调试Demo：https://github.com/lamster2018/EasyProtector

 

防护手段：

1、反模拟器：禁用模拟器进行调试访问

 

2、反证书检验：SSL证书绑定（单向校验和双向校验）

单项校验-客户端校验服务端的证书。

双向认证-客户端不仅仅要校验服务端的证书，

也会在app内放一张证书；服务端也会检验客户端里的证书。

 

3、反代理VPN：代理检测、VPN检测、发包框架强制不走代理

配置代理后无法访问，数据异常等

连接VPN节点后无法访问，数据异常等

配置代理后正常访问且无任何异常，但无数据包

 

绕过手段：

-反模拟器：（某社交相亲）

1、用真机

2、模拟器模拟真机

3、逆向删反代码重打包

 

-反证书检验：（某游戏营地）

1、单向-XP框架

2、双向-看下课补充

3、逆向删反代码重打包

XP框架安装：（操作看课程演示）https://blog.csdn.net/weixin_49941977/article/details/121318015

 

-反代理VPN：（某社交约约）

1、用APP工具设置-Postern

2、用PC工具设置-Proxifier

3、逆向删反代码重打包