目录

前言

模块介绍

Burp安装

burp配置与jdk环境安装

首次激活

浏览器配置

设置代理端口

导入Burp证书

Chrome浏览器导入证书

Firefox导入证书

前言

Burp Suite是一个用于测试网络应用程序安全性的图形化工具，如进行HTTP网站流量抓取、数据重放、表单爆破等。该工具使用Java编写，由PortSwigger Web Security开发。该工具有三个版本。可以免费下载的社区版（只有基本功能）、专业版和试用后可以购买的企业版。社区版大大减少了功能。它是为网络应用程序安全检查提供全面解决方案而开发的。除了代理服务器、Scanner和Intruder等基本功能外，该工具还包含更高级的选项，如Spider、Repeater、Decoder、Comparer、Extender和Sequencer。

模块介绍

常用模块介绍如下

• HTTP代理：它作为一个 Web 代理服务器运行，并且位于浏览器和目标 Web 服务器之间。这允许拦截、检查和修改在两个方向上通过的原始流量。

• Scanner：一个 Web 应用程序安全扫描器，用于执行 Web 应用程序的自动漏洞扫描。

• Intruder：对web应用程序进行自动化攻击

• Repeater：一个可以用来手动测试应用程序的简单工具。它可以用于修改对服务器的请求，重新发送它们并观察结果。

• Decoder：编码解码工具

Burp安装

burp配置与jdk环境安装

burp的使用需要jdk环境，新版的burp需jdk版本大于11

• JDK 13

• burp 2022.9.1

burp配置

下载安装包后新增burp.bat文件，用于启动burp

java -javaagent:ja-netfilter.jar --add-opens=java.desktop/javax.swing=ALL-UNNAMED --add-opens=java.base/java.lang=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED --add-opens=java.base/jdk.internal.org.objectweb.asm.Opcodes=ALL-UNNAMED -jar burpsuite_pro_v2022.9.1.jar

Java环境安装

1. 安装jdk13

下载地址：Java Archive Downloads - Java SE 13

首次激活

将burp中的所有文件复制到burp中的jdk目录中

双击burp.bat启动burp和ddosi.org.vbs，启动burp和license加载器

如下

复制过去点击next

点击Manual actication

如下操作

点击next

出现Success说明成功，最后点击Finish进入到burp

根据页面提示，点击next —> Start Burp

调整burp字体

然后把字体改成14或者12，这样能解决光标一放到http请求体中，字体见间距就变大的问题（高清屏下的问题）

浏览器配置

设置代理端口

可以通过浏览器自带的代理进行代理设置，或者是通过代理插件来设置代理

浏览器中点击设置—网络设置

设置代理服务器和端口，与burp中的监听端口相对应

导入Burp证书

当我们挂了burp代理但是没有导入证书的话，我们抓取https网站流量的包会显示不安全，如下这样

Chrome浏览器导入证书

1. 下载证书

挂上bp代理，地址栏输入 127.0.0.1:8080，将证书下载下来保存为.cer结尾的文件

2. 导入证书

地址栏输入

chrome://settings/security

选择管理证书

选择受信任的根证书颁发机构，将保存的证书导入就行，然后关闭浏览器重新访问百度，发现可以正常访问了

安装代理插件

Chrome默认使用的是系统全局代理，这样很不方便抓包。我们只想chrome浏览器的流量转到burp，所以使用代理插件

1. SwitchyOmega_Chromium

下载地址 ->chrome代理

2. 导入插件

选择如下

将开发者模式打开如下

3. 将下载的代理文件解压，然后将整个文件夹托进行，然后配置一下就可以了

配置好后如下

Firefox导入证书

1. 下载证书

地址栏输入 http:burp，下载证书，保存为.cert

2. 导入证书

地址栏输入

about:preferences#searchResults

搜索证书

点击导入

勾选信任

导入之后，关闭浏览器，重新打开就可以了。

如果有时候火狐浏览器访问https的网站显示对等端的证书有一个无效的签名而访问失败，则是证书坏了，重新按照上面的步骤导入证书就行， 然后重启浏览器。

安装代理插件

也推荐使用“SwitchyOmega”

访问：

https://addons.mozilla.org/zh-CN/firefox/search/?q=SwitchyOmega

进行安装即可