今天看到了一个大佬，使用抓包软件对某些看广告给金币的软件进行修改，我大概看了一下教程，使用抓包软件抓取看完视频后对服务器端发送的POST请求来达到刷金币的目的，过程中使用的安卓虚拟机 ROOT权限 MT管理器 HTTPcanary(抓包软件)
启动虚拟机后安装MT管理器，然后在真机中安装HTTPcanary，安装证书（用于解密HTTPS协议），然后导出证书，在虚拟机中导入，给MT管理器授权ROOT后，把导出的证书放进系统的system文件夹下存储证书的文件夹内，这样就可以解密HTTPS了
打开“赚钱软件”，启用抓包，观看广告视频后，会向服务器发送一个POST请求，来表示用户已经观看完广告，可以给用户金币。服务端呢会返回一个json，json中包含了用户获得的金币数量。

可以看到获得的金币为15827，这个数字是由服务器返回的json得到，展示给用户的
就是这个金币数量，导致那些人找到了洞，因为这个数量可以在后面看到，通过抓包软件查找获得的金币，即可轻松找到发送到POST请求

这里由于出教程的人已经知道金币数量对应的键名，所以他直接搜索的键名redbag，不用记数字了
找到发送到POST请求之后，只需要进行重发，也就是我们手动发送一个POST给到服务器，这时即使我们没看视频，但是我们发送了POST给服务器，服务器就认为我们已经看了这次视频，就会给用户增加金币，从而达到刷金币的目的
我们接着往下看，可以看到服务器返回的json内容

这时我们已经抓取到需要向服务端发送POST请求的那一条链接了

接下来就是进行重发即可到达刷金币的目的了，当然如果太频繁的话，赚钱软件的后台也可以看到，就把你账号封了

其实这个漏洞本来可以避免的，加上token，加上请求限制，为什么没加，估计开发者可能没想到会有人这样干，那么既然我加了HTTPS，为什么还是能被解密呢，HTTPS还有用吗？
其实HTTPS可以防止用户在不知情的情况下通信链路被监听，对于主动授信的抓包操作是不提供防护的，因为这个场景用户是已经对风险知情。要防止被抓包，需要采用应用级的安全防护，例如采用私有的对称加密，同时做好移动端的防反编译加固，防止本地算法被破解
要想不被不发分子破解，只能是在本地加上验证，比如检测用户设备有没有使用代理软件，有没有开启加-速-器，有没有启动抓包软件，这个很显然就是开发者没有想到这一情况
可能有人会问，我的证书牛逼，银行级别的证书，其实这个我认为和证书没关系，腾讯的证书够牛逼吧，也同样被人使用抓包软件钻过漏洞（腾讯在一个晚上发现了这一漏洞，并修复）
所以我认为，如果不是大公司，用免费的证书就可以了，足以抵御用户在不知情的情况下通信链路被监听
上面说的这个软件的漏洞和腾讯的那个漏洞，这个漏洞已经能传到我这里，并且我测试并没有修复的时候，说明这个漏洞已经被别人赚够了钱，怕被抓，故意放出来的，谁会把赚钱的方法免费告诉你呢？那就肯定是他已经赚够了，所以抓包需谨慎，不然就和吴签一起吃饭了
（原创内容，不是专业人员，仅代表个人想法，欢迎大佬反驳~我是个小白）