大学生学 Burp Suite：Web 渗透测试工具使用教程

一、引言

Burp Suite 是 Web 渗透测试领域最强大、最常用的工具之一，集成了代理、扫描器、入侵者、重放器等多个功能模块，能高效完成 Web 应用的漏洞挖掘与验证。对于学习 Web 渗透测试的大学生来说，熟练掌握 Burp Suite 的使用，是提升渗透测试效率和能力的关键。本文将从安装配置到核心功能实战，手把手教你掌握 Burp Suite 的使用方法。

二、Burp Suite 安装与基础配置

1. 工具版本选择与安装

• 版本介绍：Burp Suite 分为社区版（Community Edition，免费）和专业版（Professional Edition，付费），新手入门推荐使用社区版（核心功能足够满足学习需求）；

• 安装步骤：

1. 访问 Burp Suite 官网（https://portswigger.net/burp），下载社区版安装包（支持 Windows、Linux、Mac 系统）；

2. 双击安装包，按照引导完成安装（默认路径即可）；

3. 安装完成后启动 Burp Suite，首次启动需同意用户协议，选择 “Community Edition”，点击 “Next” 完成初始化。

2. 浏览器代理配置（关键步骤）

Burp Suite 需通过代理拦截浏览器的 HTTP/HTTPS 请求，因此需配置浏览器代理：

• 步骤 1：启动 Burp Suite，默认代理端口为 8080（可在 “Proxy → Options” 中修改）；

• 步骤 2：以 Firefox 浏览器为例，打开浏览器设置，找到 “常规 → 网络设置 → 设置”；

• 步骤 3：选择 “手动配置代理”，HTTP 代理填写 “127.0.0.1”，端口填写 “8080”，勾选 “为所有协议使用相同代理服务器”；

• 步骤 4：保存配置，此时 Burp Suite 的 “Proxy → Intercept” 模块会显示 “Intercept is on”（拦截开启），浏览器的所有请求都会被拦截。

3. HTTPS 证书配置（解决 HTTPS 请求无法拦截问题）

默认情况下，Burp Suite 无法拦截 HTTPS 请求（浏览器会提示证书错误），需安装 Burp 证书：

• 步骤 1：在 Firefox 浏览器中访问 “http://burp”，点击页面中的 “CA Certificate” 下载 Burp 证书；

• 步骤 2：打开浏览器设置，找到 “隐私与安全 → 证书 → 查看证书 → 导入”；

• 步骤 3：选择下载的 Burp 证书，勾选 “信任此 CA 来标识网站”，完成导入；

• 步骤 4：重启浏览器，此时 Burp Suite 可正常拦截 HTTPS 请求。

三、Burp Suite 核心功能模块详解

1. Proxy（代理模块）—— 核心拦截与修改

Proxy 模块是 Burp Suite 的核心，用于拦截、查看和修改浏览器与服务器之间的 HTTP/HTTPS 请求和响应：

• 核心功能：

1. 拦截请求 / 响应：点击 “Intercept is on” 可开启 / 关闭拦截，拦截后可手动修改请求参数（如 URL、Cookie、表单数据）；

2. 历史记录查看：在 “Proxy → HTTP history” 中查看所有经过代理的请求记录，支持按 URL、方法、状态码筛选；

3. 搜索与过滤：对历史记录进行关键词搜索（如查找包含 “admin” 的请求），快速定位目标请求。

• 实战操作：

1. 开启拦截，在浏览器访问 DVWA 登录页面，输入账号密码后点击登录；

2. Burp 拦截到登录请求，在 “Raw” 标签页中修改 “username” 参数为 “admin’ OR ‘1’='1”，点击 “Forward” 发送请求；

3. 观察服务器响应，若登录成功，说明存在 SQL 注入漏洞。

2. Scanner（扫描器模块）—— 自动化漏洞扫描

Scanner 模块用于自动化扫描 Web 应用中的安全漏洞（社区版仅支持被动扫描，专业版支持主动扫描）：

• 核心功能：

1. 被动扫描：自动分析 Proxy 模块记录的请求 / 响应，检测是否存在敏感信息泄露、HTTP 头配置不当等问题；

2. 主动扫描：向目标 Web 应用发送测试请求，检测 SQL 注入、XSS、文件路径遍历等漏洞（需专业版）；

3. 扫描报告：生成详细的扫描报告，包含漏洞描述、风险等级、修复建议。

• 实战操作：

1. 在 “Proxy → HTTP history” 中选中目标请求（如 DVWA 的首页请求）；

2. 右键选择 “Do active scan”（专业版），启动主动扫描；

3. 扫描完成后，在 “Scanner → Results” 中查看漏洞列表，点击漏洞可查看详细信息。

3. Intruder（入侵者模块）—— 暴力破解与参数爆破

Intruder 模块用于自动化测试参数的安全性，常见场景包括密码暴力破解、目录遍历、API 密钥爆破等：

• 核心功能：

1. 攻击类型选择：

• Sniper（狙击手）：单次替换一个参数，适合单参数爆破（如密码破解）；

• Battering Ram（攻城锤）：同时替换多个参数为相同值，适合批量测试；

• Pitchfork（草叉）：多个参数分别从不同字典中取值，适合账号密码组合爆破；

1. 字典配置：导入自定义字典（如常见密码字典、目录字典）；

2. 结果分析：按响应长度、状态码、关键词筛选结果，快速定位有效数据。

• 实战操作（密码暴力破解）：

1. 拦截 DVWA 登录请求，发送到 Intruder 模块；

2. 选中 “password” 参数，点击 “Add §” 标记为爆破点；

3. 在 “Payloads” 标签页导入密码字典（如 rockyou.txt）；

4. 点击 “Start attack” 启动爆破，观察响应长度，若某条响应长度与其他不同，可能是正确密码。

4. Repeater（重放器模块）—— 请求重放与调试

Repeater 模块用于手动修改请求参数并反复发送，适合漏洞验证和调试：

• 核心功能：

1. 请求重放：将 Proxy 中的请求发送到 Repeater，可多次修改参数并发送，观察响应变化；

2. 多标签页操作：支持同时打开多个请求，方便对比测试；

3. 响应格式化：自动格式化 JSON、XML 等响应数据，便于查看。

• 实战操作（XSS 漏洞验证）：

1. 拦截 DVWA 搜索请求，发送到 Repeater 模块；

2. 在 “Params” 标签页修改 “search” 参数为，点击 “Send”；

3. 查看响应结果，若响应中包含该脚本且未被转义，说明存在 XSS 漏洞。

5. Sequencer（序列器模块）—— 会话令牌安全性测试

Sequencer 模块用于测试会话令牌（如 Cookie、Session ID）的随机性，判断是否可被预测：

• 核心功能：

1. 令牌捕获：通过 Proxy 拦截或手动输入的方式获取会话令牌；

2. 随机性分析：对令牌进行熵值计算、频率分析，生成随机性报告；

3. 安全评估：判断令牌是否满足安全要求，若随机性不足，可能导致会话劫持。

• 实战操作：

1. 在浏览器登录 DVWA，获取登录后的 “PHPSESSID” Cookie；

2. 在 Sequencer 模块中选择 “Manual load”，输入多个不同的 “PHPSESSID” 值；

3. 点击 “Analyze now”，查看分析报告，若熵值过低（如小于 128 位），说明令牌安全性不足。

四、Burp Suite 实战技巧与进阶配置

1. 自定义字典制作

• 密码字典：结合常见密码（如 123456、admin@123）、生日、手机号等组合，使用工具（如 Crunch）生成自定义字典；

• 目录字典：收集 Web 应用常见目录（如 admin、test、upload）和文件（如 config.php、backup.rar），制作目录遍历字典。

2. 快捷键高效操作

• Ctrl+I：将当前请求发送到 Intruder 模块；

• Ctrl+R：将当前请求发送到 Repeater 模块；

• Ctrl+F：在请求 / 响应中搜索关键词；

• 空格：开启 / 关闭 Proxy 拦截。

3. 插件扩展功能

• Burp Suite 支持安装插件扩展功能，常用插件：

1. Hackvertor：用于编码 / 解码数据（如 Base64、URL 编码）；

2. Retire.js：检测 Web 应用中使用的过时 JavaScript 库（存在已知漏洞）；

3. JSON Web Token Attacker：用于 JWT 令牌测试（破解、篡改）。

• 安装方法：在 Burp Suite 中点击 “Extender → BApp Store”，选择插件点击 “Install” 即可。

五、总结

Burp Suite 是 Web 渗透测试的 “瑞士军刀”，核心在于熟练运用 Proxy、Intruder、Repeater 三大模块。对于大学生来说，建议从 Proxy 模块入手，通过拦截修改请求理解 Web 通信原理，再逐步学习其他模块的使用。学习过程中需结合 DVWA、VulnHub 等靶场反复实战，掌握漏洞验证和利用的思路，才能真正发挥 Burp Suite 的强大功能。

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！