使用 Burpsuite 测试的常用操作（一）

大家好啊，我是大田。

今天分享一下 Burpsuite 在工作中常用操作，本文先说说其中两个操作。

一、了解一下 Burpsuite 做什么

1、Burpsuite 是一个黑客工具、安全测试工具、半自动化抓包、篡改信息。

2、他能做：代理工具 Proxy 、爬虫 Spider、暴力破解 Intruder、漏洞扫描 Scanner、重放请求 Repeater、附属工具 decode comparer、扩展定制 Extender。

3、测试人员最常用的功能就是：
假如要攻击服务器端，此时我们要篡改请求；
假如要攻击客户端，此时我们要篡改响应。

二、Burpsuite 运行需要的环境

1、JDK 配置安装、版本选择

方式1：Burpsuite 1.7.* —— java 8（本文用这个版本）
方式2：Burpsuite 2021 —— java 11

2、专业版本需要注册机，社区版本不需要

三、本文中 2 个常用操作

1、创建快捷启动方式

打开注册机

复制这段命令，写在记事本中，修改为 .bat 后缀名的批处理文件 runburpsuite.bat

为了不出现 DOS 黑窗口，创建一个以 vbs 后缀的文件 startburp.vbs，文件内容如下

Set ws = CreateObject("Wscript.Shell")
ws.run "这里填写 runburpsuite.bat 的绝对路径".vbhide

鼠标右键将 startburp.vbs 发送桌面快捷方式，可以在桌面直接启动。

2、Burpsuite 爬行

1）新建爬行，编辑详情 scan details

2）爬行配置 scan configuration

这里一般是不需要做的

但是可以配置 user-agent

配置 user-agent 具体步骤如下：

f12，访问百度后，找出标头中的 user-agent 字段值

设置中配置，按下图指示做即可

3）应用登录 Application login

爬行中可以不设置这里的，了解一下就行。假如被测系统需要验证码，那么可以忽略这个功能。

4）资源池

一般不在上图的 Resource 中设置，因为new scan 右边有个小齿轮设置里会有默认的配置，如下图

点击设置新增后，发现这里有默认的资源池设置，我一般不做修改

5）保存 new scan 运行本次测试

new scan 里面配置好了之后，点击保存，burpsuite 就会运行了，如图所示。

例子 1：爬行演示

例子 2：爬行 + 审计演示，出现问题点圆框，右侧框是问题事件，展示这个任务下有多少问题点，问题会暴露出来。

出现 high medium这两类的问题点时，此时应该提 bug 了

面板中，我一般会将 high、medium、certain、firm 类的问题展示出来，如下图圈出来的

6）导出本次测试结果

下图可以选中某个任务（如任务 5）后，可以多选，右键导出本次运行结果，选择 html 的报告类型即可，一路 next，最后要选择要保存到的地址就 ok 了。

除了导出结果还可以右键选择一个问题高亮，提醒自己要和开发沟通处理的。

下面就是导出的报告

全文完，如果喜欢，就点个赞或者在看吧 ，转发、评论是对大田创作的最大支持~图片

我是大田，持续聚焦分享软件测试真实工作经验、职场经验、面试经验