HttpCanary

HttpCanary是一个非常强大的网络调试工具，可以帮助用户监控和分析网络的当前请求状态。无论您是系统开发人员还是普通用户，都可以直接使用此软件捕获HTTP请求，并检查当前三次或第五次握手的进展情况。

HttpCanary软件功能

一、支持协议

1、HttpCanary支持HTTP1.0、HTTP1.1、HTTP2.0、WebSocket以及TLS、SSL等协议。日常抓接口、看请求、查响应，常见环境基本都能覆盖到。

二、注入功能

1、它提供静态注入和动态注入两种方式，灵活度很高。

2、通过这两种模式，你可以对请求参数、请求头、响应头、请求体、响应体以及响应行进行定向调整。

3、如果你的调试需求比较细，还能根据不同场景创建多个注入器，尤其是静态注入支持多个规则同时工作，用起来非常顺手。

三、数据浏览

1、Raw视图，适合直接查看原始数据内容。

2、Text视图，以文本形式查看请求体或响应体，阅读更轻松。

3、Hex视图，适合看十六进制内容，分析底层数据更方便。

4、Json视图，支持格式化展示Json字符串，还能进行节点展开、折叠、复制等操作。

5、图片视图，可直接预览BMP、PNG、GIF、JPG、WEBP等格式图片。

6、音频视图，可播放AAC、WAC、MP3、OGG、MPEG等音频内容，抓到多媒体资源时特别直观。

HttpCanary软件特色

1、无需Root也能正常使用，抓包时一般不会影响其他App的正常运行，这一点对大部分普通用户非常友好。

2、支持HTTP1.0、HTTP1.1、HTTP2、HTTPS以及WebSocket等多种协议，适配范围够广。

3、支持对抓到的数据进行注入和修改，可调整请求参数、请求头、请求体、响应码、响应头、响应体等内容。

4、支持指定请求重发，也能编辑后再重发，调试接口时特别省事。

5、支持筛选、搜索抓包结果，还能设置只抓指定应用、指定Host或IP，查找关键数据更高效。

6、支持Raw、Hex、Text、Header等多种视图，方便从不同角度查看数据。

7、支持自动解码Gzip、Deflate、Chunked等编码格式，省去了手动处理的麻烦。

8、支持预览JSON、表单、图片、音频、Cookie等内容类型，实用性很高。

9、支持保存请求与响应数据到文件，也能加入收藏，方便后续复盘。

10、支持WebSocket实时预览，做长连接调试时特别有价值。

11、支持以文件形式分享请求和响应数据，也支持通过HttpCanary再次打开分享文件。

12、支持直接屏蔽数据，不发送给服务器或不回传给客户端，做测试和排查时很方便。

13、具备扩展能力，后续还可期待更多自定义玩法。

HttpCanary的ca证书怎么安装

1、先打开应用里的设置页面。

2、进入ssl证书设置。

3、点击导出HttpCanary根证书。

4、如果你当前是未Root环境，导出类型建议选.pem；如果已经Root并且有更高需求，也可以考虑.0格式。

5、接着打开手机系统设置，找到安全相关选项，再进入更多安全设置，在凭据储存里选择从手机储存安装，然后选择CA证书。不同品牌手机路径名字可能略有不同，但核心关键词就是安全、凭据、证书安装。如果系统弹出安全提示，继续安装即可。

6、找到证书所在目录，然后按你的需求安装对应证书文件。常见路径是本机存储/httpcanary/cert/。

7、安装完成后，如果系统提示已安装，或者你能在受信任的用户凭证中看到对应证书，那就说明已经成功。

HttpCanary注意事项

1、抓包本质上是对网络收发数据进行截获、查看、转存、编辑甚至重发的过程，常用于接口调试、通信分析以及网络安全排查。

2、如果你要抓取HTTPS相关内容，CA证书安装通常是绕不过去的一步，很多抓包失败的问题都出在这里。

3、Android系统里的证书通常分为用户CA证书和系统CA证书，这两类证书都可以在系统安全设置中的信任凭据里查看。

4、从Android 7.0开始，系统默认不再信任用户CA证书，这也是很多人明明装了证书却抓不到包的核心原因之一。

5、常见解决思路有两种，一种是Root后安装系统CA证书，另一种是在特定环境下借助旧版本平行空间一类方案处理，但不同安卓版本兼容性差异很大，安卓10对这类方式的支持也并不理想。

6、如果还是抓不到包，通常还要考虑以下几类原因，比如公钥证书固定、双向认证，或者目标应用使用的根本不是HTTP系协议。

抓包教程

1、先打开HttpCanary，选择需要抓取的目标应用。

2、找到你准备调试的软件。比较稳妥的做法是先启动目标应用，再打开HttpCanary开始抓包，因为有些App会做环境检测。确认无误后，点击右下角按钮开始抓包。

3、回到目标软件里做几个简单操作，正常情况下，小黄鸟就会截取到对应请求数据。

4、接下来可以尝试选择静态注入功能。

5、进入响应设置后，找到跟随服务器对应的编辑入口。

6、然后在Body区域输入一段长度为32的数字内容，作为测试数据。

7、编辑完成后，点击右上角的发送按钮。

8、最后再回到目标软件继续测试输入内容，如果出现了预期中的变化，就说明这次抓包和注入流程已经跑通了。对新手来说，这一步最大的意义就是建立感觉，你会开始明白请求和响应是怎么被看到、被修改、再被验证的。