使用 Burp Suite 进行 Web 应用安全漏洞测试

通过配置 Burp Suite 的代理拦截、请求修改和自动化攻击工作流，帮助安全测试人员快速定位业务逻辑缺陷、注入漏洞及权限越权问题。

为什么需要这个技能

在 Web 安全测试中，直接通过浏览器与服务器交互无法观察到完整的 HTTP 报文，也无法在请求发送前对其进行篡改。

Burp Suite 充当了浏览器与服务器之间的“中间人（MITM）”，允许测试者拦截每一个请求，修改参数（如将价格 price=100 改为 price=1），或将请求发送到 Repeater 进行多次快速重放测试。这种能力是发现 SQL 注入、XSS 以及业务逻辑漏洞的核心手段。

适用场景

• 业务逻辑验证：测试修改订单金额、绕过支付验证或篡改用户 ID。
• 漏洞挖掘：对输入点进行 Fuzzing 测试，寻找 SQL 注入或路径遍历漏洞。
• 权限分析：通过修改 Cookie 或 Token 验证是否存在水平/垂直越权。
• 自动化扫描：利用 Professional 版的 Scanner 快速对目标站点进行全量漏洞覆盖。

核心工作流

1. 流量拦截与分析 (Intercept)

配置浏览器通过 Burp 代理（默认 127.0.0.1:8080），在 Proxy > Intercept 开启拦截。通过审查 HTTP 请求头和主体，识别关键参数。

2. 请求篡改与重放 (Repeater)

将感兴趣的请求右键发送至 Repeater。在这里可以快速修改参数并重复发送，无需重复在浏览器中操作，通过对比响应长度（Length）或状态码（Status）判断漏洞是否存在。

# 示例：测试 productId 是否存在 SQL 注入
GET /product?productId=1 HTTP/1.1
# 修改为:
GET /product?productId=1' OR '1'='1'-- HTTP/1.1

3. 范围限定 (Scope)

在 Target > Site map 中将目标域名添加到 Scope，并在 HTTP history 中开启 "Show only in-scope items" 过滤器，排除第三方干扰流量，提高测试效率。

4. 自动化攻击 (Intruder)

使用 Intruder 定义 payload 占位符（§），选择攻击类型（如 Sniper 或 Cluster bomb），通过字典攻击实现用户名爆破或参数模糊测试。

5. 漏洞扫描 (Scanner)

（仅限专业版）在 Dashboard 发起新扫描，选择扫描深度（Lightweight 到 Deep），根据生成的 Issue 报告验证漏洞。

下载和安装

下载 burp-suite-testing 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。

你可能还需要

暂无推荐