打开软件后,你最常用到的功能就是这个顺序,从数据进来到成果出去:
💡 Burp的核心是“设置浏览器代理→拦截请求→修改→放行→看响应”。先配置代理让浏览器流量经过Burp,然后打开Intercept开关开始拦截。
这个软件好在哪:Web渗透测试的行业标准工具——功能全面,从拦截代理到漏洞扫描到报告生成一站式完成。Repeater手工测试灵活强大。Intruder支持高度自定义的攻击测试。免费版功能已相当丰富。PortSwigger官方提供免费的Web安全学院(Web Security Academy)配套学习。
坑在哪:免费版功能受限——Scanner自动扫描只在Pro版有,Intruder在免费版有速率限制。基于Java,内存占用较大。配置HTTPS代理需要安装证书,对新手不友好。纯英文界面,没有中文版。
适合谁:Web安全工程师做渗透测试。开发者自查代码安全性。安全研究员做漏洞挖掘。参加CTF比赛的学生。
免费替代:OWASP ZAP(开源免费,功能接近Burp Pro,有自动扫描)、Fiddler(HTTP调试,安全测试功能弱)、Mitmproxy(命令行代理,适合脚本化测试)。
普通人建议:如果你是Web安全方向,Burp Suite是必学工具。从Community免费版开始——先学会配置代理、拦截请求、用Repeater手工测试。PortSwigger的Web Security Academy(免费)是最好的配套学习资源,从SQL注入到XXE都有交互式实验环境。
Burp Suite是PortSwigger公司开发的Web应用安全测试平台,提供拦截代理、漏洞扫描、攻击测试和报告生成等功能,是Web渗透测试领域使用最广泛的工具。
Burp Suite作为浏览器和目标Web服务器之间的中间代理,截获所有HTTP/HTTPS流量。用户可以查看、修改、重放这些请求,在请求中注入攻击载荷以测试Web应用的各类漏洞。Intruder模块支持自动化批量参数测试,Scanner模块自动识别已知漏洞模式。
了解HTTP协议基础(请求和响应、GET/POST、Cookie、Header)。知道常见Web漏洞类型(SQL注入、XSS)。
OWASP ZAP(开源替代) · Nmap(网络扫描) · Wireshark(数据包分析) · Metasploit(渗透测试框架)
跟着做:
跟着做: