当前位置: 首页 > news >正文

【BurpSuite抓包实战指南】【从零到一】新手必看:代理配置与拦截开关的正确打开方式

1. BurpSuite入门:为什么你需要掌握抓包技术

第一次打开BurpSuite的新手往往会对着满屏的功能按钮发懵——这个看起来像黑客工具的界面到底该怎么用?其实它的核心功能比你想象的简单:就像快递中转站检查包裹一样,它能拦截所有经过的网页请求,让你查看、修改甚至伪造数据。我刚开始做安全测试时,用BurpSuite发现了某网站修改商品价格参数就能0元购的漏洞,从此明白抓包工具的重要性。

抓包技术主要解决三类实际问题:

  • 安全测试:修改请求参数探测漏洞,比如把userID=100改成userID=101看能否越权访问
  • 接口调试:查看APP与服务器的真实数据交互,排查支付失败等问题的根源
  • 数据分析:观察电商网站如何传递商品库存信息,研究竞品业务逻辑

2. 从零配置代理环境

2.1 安装与基础设置

启动BurpSuite后别急着抓包,先完成这三个关键步骤:

  1. 检查监听端口
    点击Proxy → Options,确认默认的8080端口处于运行状态(Running打勾)。就像快递站要有门牌号,这个端口是数据包的必经之路。如果端口被占用(比如你同时开了Charles),可以点击Edit改成8181等冷门端口。

  2. 配置浏览器代理
    推荐Chrome安装SwitchyOmega插件(比系统代理设置更方便)。新建情景模式,在HTTP代理栏填写:

    地址:127.0.0.1 端口:8080(与Burp监听端口保持一致)

    实测Edge浏览器自带的代理设置经常失效,而Firefox的隐私模式会绕过代理,这些都是我踩过的坑。

  3. 验证代理连通性
    在浏览器访问http://burpsuite,正常情况会显示BurpSuite的欢迎页。如果报错,检查:

    • 防火墙是否放行Java进程
    • 浏览器插件是否冲突(如广告拦截器)
    • 是否误勾选"不使用代理的地址列表"(常见于校园网环境)

2.2 拦截开关的隐藏技巧

点击Proxy → Intercept,这个红色按钮就像快递分拣机的急停开关:

  • 拦截模式:每次请求都会暂停等待人工审查(适合精细调试)
  • 放行模式:记录请求但不中断(适合批量抓包)

高级用法是配合拦截规则(Proxy → Options → Intercept Client Requests):

^.*login.*$ → 只拦截含login关键字的请求 \.(jpg|png)$ → 忽略图片请求提升效率

3. HTTPS抓包的特殊处理

3.1 证书安装指南

遇到HTTPS网站出现安全警告?就像快递站要获得拆检加密包裹的授权,你需要安装BurpSuite的CA证书:

  1. 浏览器访问http://localhost:8080(确保代理已生效)
  2. 点击"CA Certificate"下载证书文件
  3. 在系统证书管理器(certmgr.msc)中导入到"受信任的根证书颁发机构"

避坑提示:安卓手机抓包需额外操作:

# 将证书转换成手机可识别的格式 openssl x509 -inform DER -in cacert.der -out cacert.pem adb push cacert.pem /sdcard/Download/

然后在手机设置中安装证书,iOS设备还需手动开启证书信任(设置→通用→关于本机→证书信任设置)

3.2 解决顽固HTTPS拦截失败

某些APP(如微信小程序)会启用证书固定(Certificate Pinning),常规方法无法拦截。这时候需要:

  1. 使用objection工具绕过SSL验证:
    objection -g com.example.app explore --startup-command "android sslpinning disable"
  2. 或配合Frida脚本hook证书校验逻辑

实测某银行APP采用双向证书校验,需要反编译后修改smali代码才能成功抓包,这类高级技巧后续可以单独展开。

4. 实战案例:电商网站漏洞挖掘

4.1 价格参数篡改测试

以某电商平台为例,拦截加入购物车请求:

POST /addToCart HTTP/1.1 ... {"productId":123,"price":29900,"quantity":1}

尝试修改price值为0,如果服务器未校验,就能实现0元购。去年某平台漏洞正是这样被白帽子发现。

4.2 越权访问检测

拦截获取用户信息的API请求:

GET /user/profile?userId=10086 HTTP/1.1

将userId改为其他用户ID,如果返回非本人数据,就存在水平越权漏洞。建议使用Burp的Intruder模块批量测试ID范围。

5. 效率提升技巧

5.1 自动化过滤规则

在Proxy → Options配置Match and Replace规则:

匹配:Cookie: session=.* 替换:Cookie: session=恶意注入内容

这样所有请求会自动替换session值,无需手动修改。

5.2 手机抓包配置

安卓手机连接同一WiFi后,配置代理为电脑内网IP:

192.168.1.100:8080

电脑端Burp需修改监听地址为"All interfaces"。遇到抓不到包的情况,检查:

  • 手机和电脑是否同网段
  • 企业WiFi是否隔离设备通信
  • 手机APP是否使用自签名证书

6. 安全防护建议

为防止他人利用BurpSuite攻击你的网站,建议开发人员:

  1. 关键接口启用签名校验(如HMAC-SHA256)
  2. 敏感操作使用一次性Token
  3. 服务端对参数进行强类型检查

某次我测试自家系统时,发现通过Burp修改Content-Length头就能导致服务崩溃,及时修复避免了被黑客利用。

http://www.jsqmd.com/news/1200877/

相关文章:

  • 如何快速掌握开源无人机平台:5大核心功能详解与完整开发指南
  • 本地运行自动化 AI 智能体,OpenClaw 解压即用完整配置步骤(含安装包)
  • 深度解析:如何用Bliss Shader实现Minecraft电影级渲染的5个关键技术
  • CANN/asc-devkit:负无穷大值接口
  • 2026年中最新测评:10款免费好用的AI写小说工具(含避坑指南)
  • 2026安徽宣城彩钢瓦翻新修缮公司哪家好?TOP4权威推荐+避坑指南【全区域服务】 - 本地便民网
  • TinyMaix轻量级AI推理框架在RK3576开发板的实战应用
  • 2026 苏州防水维修 卫生间防水 外墙防水本地业主实测 TOP5 榜单 - LYL仔仔
  • 终极Minecraft光影增强指南:用Photon-GAMS打造电影级游戏体验
  • 2026贵阳旧卡地亚手表回收,磨损腕表估价标准? - 二奢分享官
  • 【C++测试/GoogleTest】告别“运行崩溃”与“黑盒调试”:用 Google Test Google Mock 构建自动化防线,解锁高质量 C++ 代码的交付秘籍
  • DeepMosaics:当AI学会“看穿“马赛克,隐私保护与内容修复的技术革命
  • Dify Linux部署:容器化交付与系统级环境预检指南
  • 构建高效WebDAV文件服务器的完整解决方案指南
  • 浪琴中国大陆官方售后服务中心 | 官方售后电话及地址权威公告(2026 年 7 月最新) - 亨得利客户服务中心
  • 鸿蒙三方库 | harmony-utils之NetworkUtil运营商与选网模式详解
  • AI编程工具团队选型决策手册:匹配技术债与组织模式
  • BiliLocal完整使用指南:如何为本地视频添加B站风格弹幕
  • 5分钟快速上手LX Music聚合音源:免费解锁全网无损音乐的完整指南
  • Retrofit网络请求优化:TLint项目中API调用的完整指南
  • AI蒸馏包:从访谈到朋友圈的流量秘籍全收录
  • 3步搭建AI推理基准测试环境:从零开始掌握抽象推理任务
  • 3步掌握Red Hat YAML插件:让Kubernetes配置编写变得简单高效
  • 从零到一:IDEA集成SVN实战指南与高效协作场景解析
  • 亿俐缇国际物流 | 巴林双清包税门到门服务洞察
  • 佛山南海禅城黄金回收名录公示,合扬门店支持线下到店核验 - 小禾收名品
  • 宁波伯爵中国官方售后服务体系全攻略|官方网站权威公告(2026年7月最新) - 亨得利客户服务中心
  • 如何在Apple Silicon Mac上轻松运行Windows软件:Whisky完整解决方案
  • 【办公效率提升工具】 OpenClaw,Windows 系统从零配置智能体教程(含安装包)
  • cann/asc-devkit获取SSBuffer基地址