iT邦幫忙

2025 iThome 鐵人賽

DAY 2
0
Security

?工具解?哪來的工具?一天一個ctf小工具!!!系列 第 3

Day 3|Burp Suite:web的基礎小工具

  • 分享至 

  • xImage
  •  

今天要跟大家介紹一個我超愛用的工具 —— Burp Suite


Burp Suite 是什麼?

簡單說,Burp Suite 就像你在 Web 和瀏覽器中間放了一個「透明的中介站」,幫你監控、修改、分析網站和瀏覽器之間的資料。

想像這樣:

你用瀏覽器打開網站,資料就像搭火車一樣從瀏覽器開到網站伺服器。

Burp Suite 就像是在這條火車路線中間裝了一座「檢查站」,讓你能看到火車上的所有貨物(資料),還能偷偷換成別的東西再讓火車繼續跑。


Burp Suite 的主要用途?

  • 攔截 (Intercept) HTTP/HTTPS 請求與回應
    你可以看到瀏覽器發送的所有資料,也能改動它再送出去,找出網站漏洞。

  • 掃描漏洞 (Scanner)
    付費版有自動掃描功能,可以幫你找網站弱點(像 SQL 注入、XSS)。

  • 爬蟲 (Spider)
    自動爬網站所有頁面,方便全面測試。

  • 暴力破解 (Intruder)
    自動嘗試多種輸入,測試密碼強度或注入漏洞。

  • 重放請求 (Repeater)
    對某個請求反覆修改、發送,非常適合測試。


Burp Suite 工作流程示意

  1. 你打開瀏覽器,設定代理伺服器(通常是本地的 127.0.0.1:8080)。
  2. 你瀏覽網站的時候,所有 HTTP/HTTPS 請求會先跑到 Burp Suite。
  3. Burp Suite 把請求攔截下來,讓你查看或修改。
  4. 你確認後再送出去,網站回傳資料也會回到 Burp Suite,讓你分析。

如何快速上手 Burp Suite?

1. 下載安裝

官方網站下載免費社群版:https://portswigger.net/burp/communitydownload

Java 程式,跨平台,開啟即可。


2. 設定瀏覽器代理

打開瀏覽器的代理設定,改成:

HTTP Proxy:127.0.0.1
Port:8080

3. 打開 Burp Suite,啟動 Proxy -> Intercept

預設會攔截所有請求。


4. 在瀏覽器開啟目標網站

你會看到 Burp Suite 拦截的請求。


5. 修改請求(選擇性)

你可以改 header、URL、POST 參數,甚至 cookie。


6. Forward(放行)請求給伺服器,等待回應

回應也會經過 Burp,可以看內容。


實戰小範例:用 Burp Suite 攔截登入請求

假設有個網站登入頁面:

  • 你在瀏覽器輸入帳號、密碼,按登入
  • Burp Suite 拦截這個 POST 請求
  • 你可以改密碼欄的內容,嘗試注入 ' OR '1'='1
  • 送出去看看會不會登入成功

小提醒

  • HTTPS 請求解密
    因為 HTTPS 是加密的,要在瀏覽器安裝 Burp 的 CA 證書,才能攔截 HTTPS 流量。

  • 不建議隨便攔截別人網站,請在授權範圍內使用。


好啦,Day 3 的 Burp Suite 簡介到這裡。

明天會繼續帶你深入用法,準備迎接實戰吧!


上一篇
Day 2|binwalk:隱寫檢測
系列文
?工具解?哪來的工具?一天一個ctf小工具!!!3
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言