1. SSL/TLS 证书验证:

   • 应用程序可能会对 SSL/TLS 证书进行验证,如果发现证书不是由可信的 CA 签发的,就会拒绝与之通信。这会导致 Charles 和 Burp Suite 无法解密 HTTPS 流量。

2. 证书锁定(Certificate Pinning):

   • 应用程序可能会将特定的 SSL/TLS 证书公钥或指纹硬编码到程序中,只信任这些证书。即使使用 Charles 或 Burp Suite 提供的证书,应用程序也会拒绝连接。

3. 自定义的网络通信库:

   • 应用程序可能使用了自定义的网络通信库,这些库可能会检测到代理的存在并拒绝与之通信。

4. 反调试和反逆向技术:

   • 应用程序可能会检测是否正在被调试或逆向分析,一旦发现就会采取各种措施来阻止分析,比如退出应用程序或者隐藏网络通信。

要解决这种问题,可以尝试以下方法:

1. 绕过证书验证和证书锁定:

   • 使用 Frida 等 Hook 框架在应用程序运行时动态地修改证书验证逻辑。
   • 使用 SSL/TLS 证书 pinning 绕过工具,如 SSL Unpinning.

2. 使用自定义的网络通信库:

   • 使用 Xposed 框架或 Frida 对应用程序的网络通信库进行 Hook 和修改。

3. 使用模拟器或 Root/Jailbreak 设备:

   • 在模拟器或 Root/Jailbreak 设备上运行应用程序,可以绕过一些反调试和反逆向技术

1. 代理设置问题: 确保Burp Suite的代理设置正确，并且设备上的代理配置也正确。有时候，Burp Suite的代理设置可能与设备上的代理设置不匹配，导致无法成功拦截流量。

2. SSL Pinning绕过问题: 如果应用程序使用了SSL Pinning技术，可能需要进行相应的绕过操作才能成功拦截和解密SSL/TLS流量。虽然Charles可以帮助你绕过SSL Pinning，但Burp Suite可能需要额外的设置或插件来绕过SSL Pinning。

3. 应用程序检测问题: 一些应用程序可能会检测到Burp Suite的存在并采取措施阻止拦截流量。这可能包括检测Burp Suite的代理设置或者检测SSL/TLS连接的中间人攻击行为。

   可以尝试以下几种方法：

   • 确保Burp Suite的代理设置正确，并且与设备上的代理设置匹配。
   • 尝试绕过SSL Pinning技术，以便成功拦截和解密SSL/TLS流量。
   • 如果应用程序检测到Burp Suite的存在，请尝试使用其他工具或技术进行拦截和分析。

手机端的代理地址是否填写正确？
Charles开启代理，都配置好Burp的本地监听端口，Web Proxy和Secure Web Proxy同样配置好，手机端的代理设置Charles的。

bp要开代理

证书的问题吧。一是重新安装一下burp证书（最好安装到根目录下），二是换一个监听端口，防止端口占用（看您的提问，应该也试过其他抓包工具，换个不常用的，如6666，8888这种）

bp也要设置监听端口，写的是花瓶里的转发端口，手机端要装花瓶证书，PC端要装bp和花瓶证书，bp和花瓶监听的端口不能被占用和冲突

burp证书原因，特征明显，容易被检测

因为burp的证书没有安装到根目录，不受信任，所以443协议不允许通过，所以有的app抓不到包；或者此app有代理检测机制。