尧图网站建设 尧图网络
  • 首页
  • 关于我们
  • 服务项目
  • 案例展示
  • 建站流程
  • 资讯中心
  • 联系我们
首页/资讯中心/详情

【BurpSuite抓包实战指南】【从零到一】新手必看:代理配置与拦截开关的正确打开方式

【BurpSuite抓包实战指南】【从零到一】新手必看:代理配置与拦截开关的正确打开方式
📅 发布时间:2026/7/16 15:39:17

1. BurpSuite入门:为什么你需要掌握抓包技术

第一次打开BurpSuite的新手往往会对着满屏的功能按钮发懵——这个看起来像黑客工具的界面到底该怎么用?其实它的核心功能比你想象的简单:就像快递中转站检查包裹一样,它能拦截所有经过的网页请求,让你查看、修改甚至伪造数据。我刚开始做安全测试时,用BurpSuite发现了某网站修改商品价格参数就能0元购的漏洞,从此明白抓包工具的重要性。

抓包技术主要解决三类实际问题:

  • 安全测试:修改请求参数探测漏洞,比如把userID=100改成userID=101看能否越权访问
  • 接口调试:查看APP与服务器的真实数据交互,排查支付失败等问题的根源
  • 数据分析:观察电商网站如何传递商品库存信息,研究竞品业务逻辑

2. 从零配置代理环境

2.1 安装与基础设置

启动BurpSuite后别急着抓包,先完成这三个关键步骤:

  1. 检查监听端口
    点击Proxy → Options,确认默认的8080端口处于运行状态(Running打勾)。就像快递站要有门牌号,这个端口是数据包的必经之路。如果端口被占用(比如你同时开了Charles),可以点击Edit改成8181等冷门端口。

  2. 配置浏览器代理
    推荐Chrome安装SwitchyOmega插件(比系统代理设置更方便)。新建情景模式,在HTTP代理栏填写:

    地址:127.0.0.1 端口:8080(与Burp监听端口保持一致)

    实测Edge浏览器自带的代理设置经常失效,而Firefox的隐私模式会绕过代理,这些都是我踩过的坑。

  3. 验证代理连通性
    在浏览器访问http://burpsuite,正常情况会显示BurpSuite的欢迎页。如果报错,检查:

    • 防火墙是否放行Java进程
    • 浏览器插件是否冲突(如广告拦截器)
    • 是否误勾选"不使用代理的地址列表"(常见于校园网环境)

2.2 拦截开关的隐藏技巧

点击Proxy → Intercept,这个红色按钮就像快递分拣机的急停开关:

  • 拦截模式:每次请求都会暂停等待人工审查(适合精细调试)
  • 放行模式:记录请求但不中断(适合批量抓包)

高级用法是配合拦截规则(Proxy → Options → Intercept Client Requests):

^.*login.*$ → 只拦截含login关键字的请求 \.(jpg|png)$ → 忽略图片请求提升效率

3. HTTPS抓包的特殊处理

3.1 证书安装指南

遇到HTTPS网站出现安全警告?就像快递站要获得拆检加密包裹的授权,你需要安装BurpSuite的CA证书:

  1. 浏览器访问http://localhost:8080(确保代理已生效)
  2. 点击"CA Certificate"下载证书文件
  3. 在系统证书管理器(certmgr.msc)中导入到"受信任的根证书颁发机构"

避坑提示:安卓手机抓包需额外操作:

# 将证书转换成手机可识别的格式 openssl x509 -inform DER -in cacert.der -out cacert.pem adb push cacert.pem /sdcard/Download/

然后在手机设置中安装证书,iOS设备还需手动开启证书信任(设置→通用→关于本机→证书信任设置)

3.2 解决顽固HTTPS拦截失败

某些APP(如微信小程序)会启用证书固定(Certificate Pinning),常规方法无法拦截。这时候需要:

  1. 使用objection工具绕过SSL验证:
    objection -g com.example.app explore --startup-command "android sslpinning disable"
  2. 或配合Frida脚本hook证书校验逻辑

实测某银行APP采用双向证书校验,需要反编译后修改smali代码才能成功抓包,这类高级技巧后续可以单独展开。

4. 实战案例:电商网站漏洞挖掘

4.1 价格参数篡改测试

以某电商平台为例,拦截加入购物车请求:

POST /addToCart HTTP/1.1 ... {"productId":123,"price":29900,"quantity":1}

尝试修改price值为0,如果服务器未校验,就能实现0元购。去年某平台漏洞正是这样被白帽子发现。

4.2 越权访问检测

拦截获取用户信息的API请求:

GET /user/profile?userId=10086 HTTP/1.1

将userId改为其他用户ID,如果返回非本人数据,就存在水平越权漏洞。建议使用Burp的Intruder模块批量测试ID范围。

5. 效率提升技巧

5.1 自动化过滤规则

在Proxy → Options配置Match and Replace规则:

匹配:Cookie: session=.* 替换:Cookie: session=恶意注入内容

这样所有请求会自动替换session值,无需手动修改。

5.2 手机抓包配置

安卓手机连接同一WiFi后,配置代理为电脑内网IP:

192.168.1.100:8080

电脑端Burp需修改监听地址为"All interfaces"。遇到抓不到包的情况,检查:

  • 手机和电脑是否同网段
  • 企业WiFi是否隔离设备通信
  • 手机APP是否使用自签名证书

6. 安全防护建议

为防止他人利用BurpSuite攻击你的网站,建议开发人员:

  1. 关键接口启用签名校验(如HMAC-SHA256)
  2. 敏感操作使用一次性Token
  3. 服务端对参数进行强类型检查

某次我测试自家系统时,发现通过Burp修改Content-Length头就能导致服务崩溃,及时修复避免了被黑客利用。

相关新闻

  • 2026年中最新测评:10款免费好用的AI写小说工具(含避坑指南)
  • CANN/asc-devkit:负无穷大值接口
  • DeepMosaics:当AI学会“看穿“马赛克,隐私保护与内容修复的技术革命

最新新闻

  • 如何为Moonlight主题启用语义高亮:提升代码可读性的终极技巧
  • Lovable增长范式革命:当70%传统经验失效时,产品即增长引擎
  • 【VMware虚拟化】ESXi运维实战:从Shell到esxcli的日常管理命令精要
  • Copilot与Claude工作流协同:IDE内嵌编码与桌面智能体的分工策略
  • 杭州西服定制实测测评 | 避坑指南 + 品牌对比,本地人真实选购攻略 - 西装爱好者
  • Forecastle高级配置指南:如何通过命名空间选择器和自定义应用打造个性化仪表板

日新闻

  • Toon Boom Harmony 高效工作流:从节点视图到镜头标记的实战技巧
  • 真力时售后维修电话,为您提供专业腕表保养与故障修复服务权威公示(2026年7月最新) - 亨得利官方服务中心
  • 【C++】类和对象--构造函数进阶(初始化列表与explicit)

周新闻

  • IX9104 PCIe5.0 高速交换芯片@ACP#完整规格 + 应用场景总结
  • Unity游戏集成Coze智能体:实现NPC智能对话与知识库联动
  • SAP EPIC 建行回单查询:从标准类CL_EPIC_EXAMPLE_CN_CCB_GHTD到Z类的5处关键修改

月新闻

  • 2026年6月公司网站搭建最新热门渠道测评:四大低成本/零代码平台对比+避坑
  • 【Linux】Linux arm 编译QT程序,出现expected “}“报错
  • 【MATLAB例程】四基站二维AOA定位与距离辅助增强对比仿真。基于角度观测和测距修正的固定目标平面定位精度分析

关于尧图

  • 公司简介
  • 团队介绍
  • 企业文化
  • 荣誉资质

服务项目

  • 定制开发
  • 电商建站
  • UI 设计
  • 运维服务

快速链接

  • 案例展示
  • 建站流程
  • 常见问题
  • 资讯中心

联系方式

  • 📍北京市朝阳区互联网产业园 A 座 10 层
  • 📞400-888-8888
  • ✉️contact@rkmt.cn
  • 🕐周一至周日 9:00-21:00

© 2024 北京尧图网络科技有限公司 版权所有 | 京 ICP 备 XXXXXXXX 号