Burp suite抓包修改参数及测试结果验证

Burp suite抓包修改参数及测试结果验证

最近在执行安全测试项时，遇到了要求使用 Burp Suite 修改参数并验证修改后的结果是否正确的测试场景。对于工具的抓包改包，网上有很多优秀的教程，但是对于改包后如何验证结果很少有文章提及，在此结合简单的测试案例将搜索教程时遇到的未解决疑问补充完整。
对操作不够清楚的地方，可以参考https://blog.csdn.net/baidu_36124158/article/details/90906671?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task

官网免费版下载链接

官网免费版链接：https://portswigger.net/burp/communitydownload
百度网盘链接：https://pan.baidu.com/s/1ybUFwmBOmFS8Ub_cceoeVw
提取码：jwtk

安装

百度的教程说要先安装JDK，再安装Burp Suite。这里直接照做，没有遇到问题。

抓包

1. 设置浏览器代理 ，参考如下设置即可；
   地址:127.0.0.1，端口8080对应的是Burp Suite默认的代理
   下面展示浏览器代理对应burp suite的具体位置，在Burp Suite中无需设置

2. 创建一个Burp suite项目 ，打开软件直接下一步见到如下界面即可
   

3. 访问要测试的网页 如果仅仅是要抓包查看请求内容，需要修改如下设置：修改后就可以对要测试的网页进行访问啦
   Intercept is off: 不对报文进行截取
   Intercept is on :每一个报文都会被Burp suit截取暂停，必须要手动点击【Foward】按钮放行才能进入下一个请求
   

4. 查看报文
   

截包修改参数并发送请求

1. 定位要改参数的请求
   在做一些安全测试时，往往需要截取报文修改请求参数，在Fidder里面就是找到对应的url打断点。Burp suite可以通过Proxy->Intercept下的【intercept is on】按钮来控制

具体的操作思路： 访问不需要修改报文的页面或功能时将按钮设置为【intercept is off】，在需要修改参数的那个功能或者请求之前，改为【intercept is on】

2.修改参数
仍然是在Proxy->Intercept页签下，根据第一行的信息找到我们想要修改的报文
下面是具体的请求头和参数值，可以直接编辑修改
Raw、Params、Headers这几个页签下面都可以编辑
这里我抓包的是一个登陆的请求，可以根据需要修改cookie的具体参数或者登录名/密码，修改后点击Foward放行修改后的请求

3.** 查看修改后的请求执行情况，以及请求返回值**
修改参数以后，我们不知道是否已发送，也不知道执行的结果如何。可以到Proxy-》HTTP History去查看
4.到这里我们在Burp suite的所有操作及验证都已完成，剩下的可以回到我们的被测网站去验证啦。