前言有时候测试APP需要抓取数据包，当手机开启代理时，就显示离线或无网络，关闭代理就正常了；这可能是APP做了证书验证，也就是SSL Pining。这时我们可以使用一个框架组合来解决此问题：Xposed框架+JustTrustme。为什么https的网站使用伪证书可以抓到，而在app里面同样的方法就抓不到？答案是：app启用了SSL Pinning（又叫“ssl证书绑定“）.在建立ssl通道的过程

OWASP靶机搭建先安装VMware，自行百度官网下载靶机：https://sourceforge.net/projects/owaspbwa/2.解压缩，在VMware中打开vmx文件，注意是打开不是创建点击编辑虚拟机设置-配置网络位NAT模式（这一步是为了安全性）开启虚拟机，加载完后出现ip：浏览器输入ip即可访问靶机，里面有很多靶场...

linux联网

重启进入kalli，在下面这个界面的时候，点击上下键，选择Advanced options，然后点击大写锁定键取消大写锁定，在点一下shift键，最后回车进入kali就正常了。vmware的kali虚拟机突然无法使用键盘输入用户名密码，其他虚拟机都正常，发现键盘上大写锁定的灯亮着，并且点击到kali虚拟机后不能关掉这个大写锁定的灯。