BurpSuite配置及功能界面介绍-优快云博客

本文链接：https://blog.youkuaiyun.com/zakefine/article/details/144126519

声明：学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章。笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！

一、Burp Suite简介

1、Burp Suite介绍和使用建议

Burp Suite 是一款用于 Web 应用程序安全测试的集成平台，深受安全研究人员和渗透测试人员的喜爱。Burp Suite 有免费版和专业版。可以从官方网站（https://portswigger.net/burp/）下载适合自己操作系统的安装包进行安装。

作为一名专业的渗透服务人员，在工作中需要使用到很多专业功能模块，所以笔者建议还是尽可能使用专业版。Burp Suite原有界面是英文界面，也有中文汉化版，主要看个人使用习惯，如果是初学者建议使用原有英文版。

2、Burp Suite的主要作用

以下介绍的Burp Suite常用的一些能力，更多能力读者可以自行进行详细了解。

（1）HTTP(s) 流量分析

作为代理工具，Burp Suite 允许用户详细查看 HTTP/HTTPS 请求和响应的每一个细节。可以查看请求头部的信息，像 User - Agent（用于标识客户端浏览器类型和版本）、Cookie（用于存储用户会话等信息）、Referer（表示请求的来源页面）等字段。对于响应，能够查看状态码（如 200 表示成功、404 表示未找到资源等）、响应头部和响应内容。并且可以在拦截的情况下修改请求和响应的内容。

（2）模拟攻击测试

Intruder 模块可用于模拟各种攻击。比如在进行暴力破解测试时，可以加载一个包含常见用户名和密码组合的字典文件，对网站的登录页面进行攻击。

（3）自动漏洞扫描

Burp Suite 的 Scanner 模块能够自动检测多种常见的 Web 漏洞。例如，它可以检测 SQL 注入漏洞。当扫描一个包含用户登录功能的网页时，扫描器会尝试在用户名和密码字段等参数输入位置注入 SQL 语句。

二、浏览器代理配置

代理的工作原理如上如所示，浏览器发起的服务请求先发送到代理，这样我们就可以看清楚请求的内容，代理再将请求转发给服务器。

服务器在收到请求后，把响应包发送给代理，此时我们就可以观察到响应数据包的内容，代理再把响应包转发给浏览器，这样就完成了一次请求响应的过程。

1、FireFox浏览器安装FoxyProxy插件

安装好后的显示

2、配置FoxyProxy

完成以上操作就可以进行HTTP抓包了，接下来配置HTTPS抓包

3、CA证书下载

以下方法选择其中一个就好

（1）方法一：

第一步：打开代理，并访问https://burp

第二步：下载CA证书

（2）方法二：

第一步：点击Burp-settings-Tools-Proxy

第二步：点击import/export CA certificate

第三步：导出证书

4、CA证书导入

（1）打开FireFox浏览器设置界面，搜索证书，打开证书管理页面，选择导入

（2）选择之前下载好的证书

（3）勾选选项，并点击确认

三、Burp Suite功能界面介绍

本次只做功能界面菜单的初步讲解，功能具体用法将在后续的文章中详细介绍。

主要使用的功能模块如下：

1、Proxy（代理）模块

它可以作为浏览器和目标 Web 服务器之间的中间人。当浏览器配置为使用 Burp Suite 代理后，所有的 HTTP/HTTPS 请求和响应都会经过 Burp Suite。可以对请求和响应进行拦截、查看和修改。用户能够详细地查看请求的头部信息（如 User - Agent、Cookie 等）和请求体内容，以及响应的状态码、头部和内容。

2、Spider（爬虫）模块

能够自动地对目标 Web 应用进行爬取。它会从给定的起始 URL 开始，像搜索引擎的爬虫一样，递归地查找网站中的链接，并访问这些链接所指向的页面。可以帮助识别网站中的各种资源，如 HTML 文件、CSS 文件、JavaScript 文件、图片等，这些资源的信息对于后续的安全测试（如检查文件包含漏洞、XSS 漏洞等）非常重要。