BurpSuite 1.4.07 详细使用指南:安装、配置与渗透测试实战
1. 安装与启动
-
下载
burpsuite-1.4.07.jar链接:https://pan.quark.cn/s/09cc261a04d0 -
运行:需已安装 Java 环境(JDK 6/7/8),命令行执行:
java -jar burpsuite-1.4.07.jar
2. 配置浏览器代理
-
设置代理:
-
地址:
127.0.0.1或localhost -
端口:
8080(默认)。 -
浏览器插件(可选):如 Firefox 的 FoxyProxy 或 Chrome 的 SwitchyOmega。
-
-
忽略 HTTPS 证书警告:
-
访问
http://burp下载 Burp 的 CA 证书,导入浏览器信任库。
-
3. 基础模块使用
Proxy(代理拦截)
-
拦截请求:
-
打开 Proxy → Intercept,点击
Intercept is on开启拦截。 -
浏览器访问目标网站,请求会暂停在 Burp 中,可修改后 Forward 或 Drop。
-
-
历史记录:Proxy → HTTP history 查看所有请求。
Target(目标管理)
-
添加目标:在 Target → Site map 中右键添加域名或手动输入。
-
Scope 设置:定义测试范围(如
*.example.com)。
Scanner(扫描器,仅Pro版)
-
右键目标 →
Actively scan启动主动扫描(旧版功能可能有限)。
Spider(爬虫)
-
右键目标 →
Spider this host爬取网站目录。
Repeater(重放)
-
从 Proxy/History 右键请求 →
Send to Repeater,手动修改并重复发送。
Intruder(爆破)
-
发送请求到 Intruder。
-
设置攻击类型(如 Sniper、Cluster bomb)。
-
标记变量(
§包围),加载字典(Payloads)。 -
开始攻击,分析结果。
Decoder(编码/解码)
-
输入字符串,选择编码(Base64、URL、Hex 等)进行转换。
4. 移动端/APP 抓包
-
手机配置:
-
Wi-Fi 代理设置为电脑 IP + 端口
8080。 -
安装 Burp CA 证书(需手机信任)。
-
-
抓包:APP 流量会显示在 Proxy 历史记录中。