Burp Suite 是 Web 安全测试中最常用的工具之一。对于刚入门的同学来说,先掌握核心模块比盲目装插件更重要。
常用模块
Proxy
用于拦截浏览器请求和响应,是日常测试的入口。
重点掌握:
- 浏览器代理配置
- 请求拦截与放行
- HTTP History 查看完整流量
Repeater
用于手工重放请求,非常适合测试:
- 参数篡改
- 越权
- SQL 注入
- 文件上传
- 身份校验逻辑
Intruder
用于自动化批量测试。
典型用途:
- 爆破用户名密码
- 枚举参数
- 模糊测试输入点
Decoder
常用于处理:
- URL 编码
- Base64
- Hex
- Hash
实战中的几个小技巧
先看响应差异,再判断是否有漏洞
不要一上来就堆 payload,先观察:
- 状态码是否变化
- 页面长度是否变化
- 错误信息是否变化
- 是否出现权限边界差异
保留原始请求
每次测试前都留一个原始包,方便对比变更点,避免测乱。
关注隐藏参数
很多功能点表面只提交少量参数,但真实请求中可能还包含:
- role
- id
- type
- debug
- callback
这些参数往往更值得测试。
学会配合浏览器开发者工具
Burp 负责改包,浏览器开发者工具负责看前端逻辑、接口调用链和 JS 细节,二者结合效率更高。
建议的学习路径
- 先把 Proxy 和 Repeater 用熟。
- 再用 Intruder 做基础枚举。
- 最后补充插件和自动化能力。
工具只是放大能力,真正决定测试质量的仍然是对业务逻辑和漏洞原理的理解。