开源免费抓包工具，支持Windows、Mac、Android、IOS、Linux 全平台系统

文章预览

之前hvv期间蹲机房熬了几个大夜，发现个挺有意思的场景——好多兄弟在分析恶意APK流量时，被那些套了CDN的接口绕得头晕。就上周三晚上11点，隔壁组小王突然抱着笔记本冲过来："哥快看！这破应用每次请求的IP都不一样，根本摸不到真实服务器在哪！" 这时候就轮到ProxyPin上场了。这玩意最骚的操作在于，你根本不用折腾什么adb配置，直接让测试机扫个二维码，所有流量就乖乖进到咱们的监控界面了。记得当时有个金融类APP，表面看着请求的是某云服务商地址，结果我们开着脚本批量替换了请求头里的加密参数，直接扒出来背后三跳之后藏着的境内服务器IP，整个攻击路径瞬间清晰。 搞过移动端渗透的都知道，最烦人的就是各种动态token和加密传输。上个月做某电商APP的漏洞挖掘时，我直接在ProxyPin里挂了个JS脚本，把响应包里的AES密钥给自动截 ………………………………