专业的社区

使用Burp代理

代理工具位于Burp的核心用户驱动的工作流程，并直接了解目标应用程序在“引擎盖下”的工作方式。它作为Web代理服务器运行，并在Bbeplay体育能用吗urp的浏览器和目标Web服务器之间作为中间人坐在中间。这使您可以拦截，检查和修改两个方向的原始流量。

如果应用程序采用HTTPS，BURP会破坏浏览器和服务器之间的TLS连接，以便甚至可以在Burp的工具中查看和修改加密的数据。

设置

Burp代理与Burp的浏览器访问目标应用程序。要启动Burp的浏览器，请转到代理>拦截选项卡并单击打开浏览器。将打开一个新的浏览器会话，其中所有流量通过Burp自动代理。您甚至可以使用它来使用HTTPS进行测试。

设置设置时，请访问Burp的浏览器中的任何URL，然后转到代理>截距在Burp Suite中的标签。如果一切正常，您应该看到显示的HTTP请求供您查看和修改。您将需要转发HTTP消息，以继续浏览。您还应该看到出现在HTTP历史标签。

这拦截选项卡显示由Burp代理进行审查和修改的单个HTTP请求和响应。此功能是Burp用户驱动工作流的关键部分：

默认情况下，BURP的拦截被关闭，因此所有HTTP消息都会自动转发，而无需用户干预。要启用它，您需要使用主拦截切换拦截选项卡。

拦截的请求和响应显示在HTTP消息编辑器，其中包含许多功能，旨在帮助您快速分析和操纵消息。

默认情况下，BURP代理仅拦截仅请求消息，并且不会拦截使用通用文件扩展名的URL请求，这些url在测试时通常不会直接有趣（图像，CSS和静态JavaScript）。您可以更改此默认行为拦截选项。例如，您可以配置burp以拦截在适用范围包含参数的请求，或拦截所有包含HTML的响应。

您可能通常希望完全关闭Burp的拦截，以便无需用户干预即可自动转发所有HTTP消息。您可以使用主拦截切换在拦截选项卡。

Burp维持一个完整的历史通过代理的所有请求和响应。这使您能够查看浏览器服务器对话，以了解应用程序的功能或执行关键测试任务。有时您可能想完全禁用拦截选项卡，然后自由浏览应用程序功能的一部分，然后仔细审查代理历史记录中所得的请求和响应。

BURP提供以下功能来帮助您分析代理历史：

这历史表可以通过单击任何列标头（通过上升排序，降序排序和未分类）进行排序（单击标题周期）。这使您可以快速分组相似的项目并确定任何异常项目。

您可以使用显示过滤器隐藏具有各种特征的项目。

你可以注释带有亮点和评论的项目，描述其目的或确定有趣的项目，以稍后再回到。

您可以使用上下文菜单，应用不同的过滤器或帮助测试访问控件。

Burp的关键部分用户驱动的工作流程是否能够在Burp工具之间发送有趣的项目来执行不同的任务。您可以使用上下文菜单来执行此操作，您可以通过在整个Burp的各个位置右键单击访问该菜单。

例如，在观察到代理中有一个有趣的请求后，您可能想快速执行漏洞扫描仅此要求bepaly下载。

您可以将请求发送到中继器手动修改请求并一遍又一遍地重新发行。

您可以将请求发送到入侵者执行各种类型的自动定制攻击。

您可以将请求发送到音序器分析响应中返回的令牌中随机性的质量。

您可以执行所有这些动作以及来自上下文菜单的各种动作拦截选项卡和代理历史。

对于更专业的测试任务，或者在使用异常应用程序时，您可能需要修改一些Burp代理的众多选项：

您可能需要修改代理侦听器，以绑定到不同的接口，，，，重定向请求到不同的主机，处理服务器TLS证书不同，或支持隐形代理对于不知情的客户。

您可以将代理配置为自动修改HTTP响应以各种系统的方式；例如，要解开隐藏表单字段，请删除JavaScript表单验证等。

您可以配置匹配 /替换自动更改请求和响应内容的规则。