[ PROMPT_NODE_27604 ]
Burp Suite Web 应用测试
[ SKILL_DOCUMENTATION ]
# Burp Suite Web 应用测试
## 目的
使用 Burp Suite 的集成工具集执行全面的 Web 应用安全测试,包括 HTTP 流量拦截与修改、请求分析与重放、自动化漏洞扫描以及手动测试工作流。此技能通过基于代理的测试方法,实现对 Web 应用漏洞的系统性发现与利用。
## 输入 / 前置条件
### 所需工具
- 已安装 Burp Suite 社区版或专业版
- Burp 内置浏览器或已配置的外部浏览器
- 目标 Web 应用 URL
- 用于认证测试的有效凭据(如适用)
### 环境设置
- 启动 Burp Suite 并创建临时或命名项目
- 代理监听器在 127.0.0.1:8080(默认)上处于活动状态
- 浏览器配置为使用 Burp 代理(或使用 Burp 的浏览器)
- 已安装用于 HTTPS 拦截的 CA 证书
### 版本对比
| 功能 | 社区版 | 专业版 |
|---------|-----------|--------------|
| 代理 (Proxy) | ✓ | ✓ |
| 重放 (Repeater) | ✓ | ✓ |
| 爆破 (Intruder) | 受限 | 完整 |
| 扫描 (Scanner) | ✗ | ✓ |
| 扩展 (Extensions) | ✓ | ✓ |
## 输出 / 交付物
### 主要输出
- 拦截并修改后的 HTTP 请求/响应
- 包含修复建议的漏洞扫描报告
- HTTP 历史记录和站点地图文档
- 针对已识别漏洞的概念验证 (PoC) 攻击代码
## 核心工作流
### 第一阶段:拦截 HTTP 流量
#### 启动 Burp 浏览器
导航至集成浏览器以实现无缝代理集成:
1. 打开 Burp Suite 并创建/打开项目
2. 转到 **Proxy > Intercept** 选项卡
3. 点击 **Open Browser** 启动预配置浏览器
4. 调整窗口位置以便同时查看 Burp 和浏览器
#### 配置拦截
控制捕获哪些请求:
Proxy > Intercept > Intercept is on/off 开关
开启时:请求暂停以供审查/修改
关闭时:请求直接通过,并记录到历史记录中
#### 拦截并转发请求
处理拦截的流量:
1. 将拦截开关设置为 **Intercept on**
2. 在浏览器中导航至目标 URL
3. 观察 Proxy > Intercept 选项卡中保持的请求
4. 审查请求内容(头部、参数、正文)
5. 点击 **Forward** 将请求发送到服务器
6. 继续转发后续请求,直到页面加载完成
#### 查看 HTTP 历史记录
访问完整的流量日志:
1. 转到 **Proxy > HTTP history** 选项卡
2. 点击任意条目以查看完整的请求/响应
3. 通过点击列标题进行排序(# 用于
粤公网安备44030002003366号