BurpSuite 是一款使用Java編寫的，用于Web安全審計與掃描套件。它集成了諸多實用的小工具以完成http請求的轉發/修改/掃描等，同時這些小工具之間還可以 互相協作，在BurpSuite這個框架下進行各種強大的，可訂制的攻擊/掃描方案。安全人員可以借用它進行半自動的網絡安全審計，開發人員也可以使用它 的掃描工具進行網站壓力測試與攻擊測試，以檢測Web應用的安全問題。

代理設置

和各種瀏覽器的抓包工具一樣，BurpSuite也提供了抓包功能，它的工作方式為在瀏覽器和網站之間做了代理，先進到Proxy-Options選項卡，編輯代理的地址與端口?！斎荒阋残枰跒g覽器上設置代理為此地址。

我們可能只希望針對某個網站進行抓包，在下面的設置中，添加一個規則，只攔截特定的數據包?！ǔ＿@不是必須的，畢竟我們很少在分析一個網站時瀏覽其它網頁。

修改數據包

設置好一切后，到Proxy-Intercept選項，打開Intercept，然后博主在貼吧發了個貼子，可以看到一個數據請求已經被攔截下來了，此時我們可以修改數據包的內容，或者直接點擊轉發，此時重新加工的數據包才會被真正的發往服務器。

使用爬蟲

在Target選項卡可以看到所有通過BurpSuite代理的數據包和網站列表，點擊任意一個列表可以選擇使用爬蟲爬下這個網站。

BurpSuite抓取到的網站資源

針對參數的測試

表現出BurpSuite強大的測試工能的就是Intruder工具了，它可以使用預先定義的一個列表來嘗試某幾個參數——在XSS測試與SQL注入測試中尤其有用，有經驗的安全人員通常會有一個常用的測試列表。

設置好一個HTTP請求后，需要被嘗試的關鍵字使用$$符號包含起來，BurpSuite就會認為這是一個要嘗試的變量。

對應的參數嘗試列表需要在Options中設置，也可以從一個文件中導入。這里我們編輯了幾個測試例子。

選擇菜單欄的Intruder Attack就可以開始了，BurpSuite會依次對每個參數嘗試列表中的字段。

此外，BurpSuite還有專門用于發送數據包的Repeater和編碼/解碼的Decoder等等工具，當前有部分是需要購買專業版的。熟練使用它可以高效的進行Web Test；