安全测试|BurpSuite工具安装与使用 📅 2026/7/15 19:53:52 Burp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多工具并为这些工具设计了许多接口以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息持久性认证代理日志警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试。01 安装工具1、BurpSuite的下载可以在官网上下载https://portswigger.net/burp/除了这个社区版还有专业版不过需要付费但是会给你一个月的试用期。安装BurpSuite会用到jdk所以必须先配置好jdk , 下载安装自行百度。ps:初学者如果想用专业版可以在网上找破解版本, 或者购买正版2、配置 BurpSuite 代理 打开burp 选择 proxy-----options3、浏览器进行配置 , 这里以谷歌浏览器为例 ,其他浏览器类似可自行百度。设置-----高级 -----打开代理如下图:4、配置完成后就可以使用burp suite进行抓包了但是抓包过程中可能出现如下问题 , https无法抓取以前点击高级点击继续访问可以进行但是现在貌似不可以了 解决办法就是安装burp的受信任证书。5、安装SSL受信任证书打开浏览器访问 http://burp 点击CA Certificate 下载 证书进行安装点击下一步直到完成 ,最后会弹出一个警告对话框选择是即可。如下图是安装后的抓包效果6、BurpSuite 抓包 篡改数据 代开百度输入一个 lixiaolong , 然后打开burp intercepter on 表示开启拦截找到对应的搜索请求 如下图点击将选项卡切换到Params点击Forward放行 forward表示放行该拦截请求 , Drop表示丢弃本次请求直到找到你要篡改的参数。在这里将lixiaolong修改为 zhoujielun由于百度开启了实时搜索功能修改参数需要主要 , 出现完整lixiaolong的地方都进行修改否则可能出现篡改不成功 点Forward放行之后的搜索结果为下图所示7 、使用burp的 send repeater 也可以完成篡改 , 这里以csdn账号忘记密码业务模块进行篡改 , 看其是否存在漏洞在csdn登录页面点击忘记密码 出现如图:击获取验证码后用burp进行拦截请求 找到请求参数进行篡改 ,篡改后将请求重新发送点击Action-----Send to Repeater -------切换到reqpeater选项面板-------点击go发送篡改的请求----得到响应;如图所示返回结果是 用户手机不存在说明此处不存在越权修改他人账户密码