Burp Suite 是用于攻擊web 應用程序的集成平臺，包含了許多工具。Burp Suite為這些工具設計了許多接口，以加快攻擊應用程序的過程
所有工具都共享一個請求，并能處理對應的HTTP 消息、持久性、認證、代理、日志、警報

• 要求

  首先Burp Suite是需要java環境的，自己安裝哈（包括環境變量）
  其次我主要想講的是Burp和Google之間的聯動
  還有就是Burp設置代理的小工具，以及如何抓https包

• 安裝

  我下載的是V2.0.0.11的漢化版
  接下來是Burp的一些安裝步驟

    以上安裝完后，就可以打開Burp了

• 設置代理

    然后就要設置代理(在Burp中需要設置，還有Google中也需要設置)

• Google代理

  Google有多種設置代理的方式，以下我講兩種吧
  一、直接使用系統的代理
  二、使用SwitchyOmega_Chromium谷歌插件

• 使用系統代理

• 使用谷歌插件

    首先到擴展程序中的Chrome 網上應用店中下載SwitchyOmega_Chromium，或者直接百度搜估計也可以

• 使用

    這樣就可以嘗試抓包試試看配置有沒有出錯
    首先把burp的攔截打開，其次Google打開代理

• https證書的添加

    在Google中添加下載的證書

    這個就需要注意下，查看下證書導入是否正確，我就有遇到過，導入是成功的，但是問題是錯誤證書，導致抓不到包，一直報錯
    最后才找到是證書問題，重新導入了才可以正常使用

    至此說明我們的配置是沒問題的
    burp已經可以正常抓到http和https的報文啦
    小伙伴們可以快樂的開始玩耍啦！！！

• 介紹一些Burp中的基本功能使用吧

• Proxy——intercept（代理——截斷）

    我們對報文進行任意的修改，并且發送
    然后也可以使用右鍵，和其他功能進行聯動

• intruder（測試器）

    這個是測試器，首先需要從截斷把報文發送過來，然后使用測試器，對其中的參數進行標記，然后對其進行字典爆破
    我們先了解兩個模式，狙擊手和集束炸彈
    一、狙擊手就是一個位置對應一個字典，一對一的
    二、集束炸彈就是選擇兩個需要測試的點，然后選擇兩個字典，一一對一
    測試器經常用來爆破密碼等
    用法是我們先清除burp自動標記的點，然后選擇報文中你需要測試的位置，點擊添加，然后設置一些字典和參數，圖中有詳細的講解
    最后點擊開始攻擊，就等待結果了

• 另外分享一個小技巧

    如果沒有參數需要爆破，但是又想要測試多次請求網站是否可以承受得住，可以使用這種方式
    這樣就可以一直連接

• Repeater（重發器）

    重發器的作用也是修改報文，不過功能上比截斷的豐富，自行挖掘吧