# 2.12 Burp Suite

- [Burp Suite 介绍](#burpsuite-介绍)
- [安装](#安装)
- [快速入门](#快速入门)
- [参考资料](#参考资料)


## BurpSuite 介绍
Burp Suite 是一款强大的 Web 渗透测试套件，主要功能包括代理截获、网页爬虫、Web 漏洞扫描、定制化爆破等，结合 Burp 的插件系统，还可以进行更加丰富多样的漏洞发掘。

可以从[官网](https://portswigger.net/burp)获取到社区版的 Burp，社区版的 Burp 有一些功能限制，但是可以通过其他渠道获取到专业版。Burp 使用 Java 语言编程，可以跨平台运行。


## 安装
在官网上选择适合自己版本的 Burp，官网提供多平台的安装包，在保证系统拥有 Java 环境的基础上，推荐直接下载 Jar file 文件。

下载完成后双击 burpsuite_community_v1.x.xx.jar 即可运行，其他安装方式遵循相关指示安装即可。


## 快速入门
#### proxy
Burp 使用的第一步是实现浏览器到 Burp 的代理，以 Firefox 为例

选择 *选项* ——> *高级* ——> *网络* ——> *连接 设置* ——>配置代理到本机的未占用端口(默认使用 8080 端口)

在 Burp 的 proxy 下的 options 中查看代理监听是否开启，默认监听 127.0.0.1:8080

在 Firefox 的代理状态下，访问 HTTP 协议的网页即可在Burp中截获交互的报文

#### HTTPS 下的 proxy（老版本 Burp ）
新版 Burp（1.7.30）已经不需要单独导入证书即可抓包，而老版 Burp Https 协议需要浏览器导入 Burp 证书才可正常抓包，具体操作见参考文档。


## 参考资料
- [新手教程](http://www.freebuf.com/articles/web/100377.html)
- [Kali 中文网-Burp 教程](http://www.kali.org.cn/forum-80-1.html)
- [Burp 测试插件推荐](https://www.waitalone.cn/burpsuite-plugins.html)
- [Burp 证书导入](http://www.keen8.com/post-164.html)