
1. BurpSuite入门为什么你需要掌握抓包技术第一次打开BurpSuite的新手往往会对着满屏的功能按钮发懵——这个看起来像黑客工具的界面到底该怎么用其实它的核心功能比你想象的简单就像快递中转站检查包裹一样它能拦截所有经过的网页请求让你查看、修改甚至伪造数据。我刚开始做安全测试时用BurpSuite发现了某网站修改商品价格参数就能0元购的漏洞从此明白抓包工具的重要性。抓包技术主要解决三类实际问题安全测试修改请求参数探测漏洞比如把userID100改成userID101看能否越权访问接口调试查看APP与服务器的真实数据交互排查支付失败等问题的根源数据分析观察电商网站如何传递商品库存信息研究竞品业务逻辑2. 从零配置代理环境2.1 安装与基础设置启动BurpSuite后别急着抓包先完成这三个关键步骤检查监听端口点击Proxy → Options确认默认的8080端口处于运行状态Running打勾。就像快递站要有门牌号这个端口是数据包的必经之路。如果端口被占用比如你同时开了Charles可以点击Edit改成8181等冷门端口。配置浏览器代理推荐Chrome安装SwitchyOmega插件比系统代理设置更方便。新建情景模式在HTTP代理栏填写地址127.0.0.1 端口8080与Burp监听端口保持一致实测Edge浏览器自带的代理设置经常失效而Firefox的隐私模式会绕过代理这些都是我踩过的坑。验证代理连通性在浏览器访问http://burpsuite正常情况会显示BurpSuite的欢迎页。如果报错检查防火墙是否放行Java进程浏览器插件是否冲突如广告拦截器是否误勾选不使用代理的地址列表常见于校园网环境2.2 拦截开关的隐藏技巧点击Proxy → Intercept这个红色按钮就像快递分拣机的急停开关拦截模式每次请求都会暂停等待人工审查适合精细调试放行模式记录请求但不中断适合批量抓包高级用法是配合拦截规则Proxy → Options → Intercept Client Requests^.*login.*$ → 只拦截含login关键字的请求 \.(jpg|png)$ → 忽略图片请求提升效率3. HTTPS抓包的特殊处理3.1 证书安装指南遇到HTTPS网站出现安全警告就像快递站要获得拆检加密包裹的授权你需要安装BurpSuite的CA证书浏览器访问http://localhost:8080确保代理已生效点击CA Certificate下载证书文件在系统证书管理器certmgr.msc中导入到受信任的根证书颁发机构避坑提示安卓手机抓包需额外操作# 将证书转换成手机可识别的格式 openssl x509 -inform DER -in cacert.der -out cacert.pem adb push cacert.pem /sdcard/Download/然后在手机设置中安装证书iOS设备还需手动开启证书信任设置→通用→关于本机→证书信任设置3.2 解决顽固HTTPS拦截失败某些APP如微信小程序会启用证书固定Certificate Pinning常规方法无法拦截。这时候需要使用objection工具绕过SSL验证objection -g com.example.app explore --startup-command android sslpinning disable或配合Frida脚本hook证书校验逻辑实测某银行APP采用双向证书校验需要反编译后修改smali代码才能成功抓包这类高级技巧后续可以单独展开。4. 实战案例电商网站漏洞挖掘4.1 价格参数篡改测试以某电商平台为例拦截加入购物车请求POST /addToCart HTTP/1.1 ... {productId:123,price:29900,quantity:1}尝试修改price值为0如果服务器未校验就能实现0元购。去年某平台漏洞正是这样被白帽子发现。4.2 越权访问检测拦截获取用户信息的API请求GET /user/profile?userId10086 HTTP/1.1将userId改为其他用户ID如果返回非本人数据就存在水平越权漏洞。建议使用Burp的Intruder模块批量测试ID范围。5. 效率提升技巧5.1 自动化过滤规则在Proxy → Options配置Match and Replace规则匹配Cookie: session.* 替换Cookie: session恶意注入内容这样所有请求会自动替换session值无需手动修改。5.2 手机抓包配置安卓手机连接同一WiFi后配置代理为电脑内网IP192.168.1.100:8080电脑端Burp需修改监听地址为All interfaces。遇到抓不到包的情况检查手机和电脑是否同网段企业WiFi是否隔离设备通信手机APP是否使用自签名证书6. 安全防护建议为防止他人利用BurpSuite攻击你的网站建议开发人员关键接口启用签名校验如HMAC-SHA256敏感操作使用一次性Token服务端对参数进行强类型检查某次我测试自家系统时发现通过Burp修改Content-Length头就能导致服务崩溃及时修复避免了被黑客利用。