今天要跟大家介紹一個我超愛用的工具 —— Burp Suite。

Burp Suite 是什麼？

簡單說，Burp Suite 就像你在 Web 和瀏覽器中間放了一個「透明的中介站」，幫你監控、修改、分析網站和瀏覽器之間的資料。

想像這樣：

你用瀏覽器打開網站，資料就像搭火車一樣從瀏覽器開到網站伺服器。

Burp Suite 就像是在這條火車路線中間裝了一座「檢查站」，讓你能看到火車上的所有貨物（資料），還能偷偷換成別的東西再讓火車繼續跑。

Burp Suite 的主要用途？

• 攔截 (Intercept) HTTP/HTTPS 請求與回應
  你可以看到瀏覽器發送的所有資料，也能改動它再送出去，找出網站漏洞。

• 掃描漏洞 (Scanner)
  付費版有自動掃描功能，可以幫你找網站弱點（像 SQL 注入、XSS）。

• 爬蟲 (Spider)
  自動爬網站所有頁面，方便全面測試。

• 暴力破解 (Intruder)
  自動嘗試多種輸入，測試密碼強度或注入漏洞。

• 重放請求 (Repeater)
  對某個請求反覆修改、發送，非常適合測試。

Burp Suite 工作流程示意

1. 你打開瀏覽器，設定代理伺服器（通常是本地的 127.0.0.1:8080）。
2. 你瀏覽網站的時候，所有 HTTP/HTTPS 請求會先跑到 Burp Suite。
3. Burp Suite 把請求攔截下來，讓你查看或修改。
4. 你確認後再送出去，網站回傳資料也會回到 Burp Suite，讓你分析。

如何快速上手 Burp Suite？

1. 下載安裝

官方網站下載免費社群版：https://portswigger.net/burp/communitydownload

Java 程式，跨平台，開啟即可。

2. 設定瀏覽器代理

打開瀏覽器的代理設定，改成：

HTTP Proxy：127.0.0.1
Port：8080

3. 打開 Burp Suite，啟動 Proxy -> Intercept

預設會攔截所有請求。

4. 在瀏覽器開啟目標網站

你會看到 Burp Suite 拦截的請求。

5. 修改請求（選擇性）

你可以改 header、URL、POST 參數，甚至 cookie。

6. Forward（放行）請求給伺服器，等待回應

回應也會經過 Burp，可以看內容。

實戰小範例：用 Burp Suite 攔截登入請求

假設有個網站登入頁面：

• 你在瀏覽器輸入帳號、密碼，按登入
• Burp Suite 拦截這個 POST 請求
• 你可以改密碼欄的內容，嘗試注入 ' OR '1'='1
• 送出去看看會不會登入成功

小提醒

• HTTPS 請求解密
  因為 HTTPS 是加密的，要在瀏覽器安裝 Burp 的 CA 證書，才能攔截 HTTPS 流量。

• 不建議隨便攔截別人網站，請在授權範圍內使用。

好啦，Day 3 的 Burp Suite 簡介到這裡。

明天會繼續帶你深入用法，準備迎接實戰吧！