一、简介用于攻击web应用程序的集成平台。它包含了许多工具并为这些工具设计了许多接口以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示http消息持久性认证代理日志警报的一个强大的可扩展的框架。二、安装与配置下载https://portswigger.net/burp/releases/professional-community-2025-7-2taget目标显示目标目录结构的一个工能proxy代理拦截http/s的代理服务器作为一个在浏览器和目标应用程序之间的中间人允许你拦截查看修改在两个方向上的原始数据流Intruder入侵一个定制的高度可配置的工具对web应用程序进行自动化攻击。如枚举标识符收集有用的数据以及使用fuzzing技术探测常规漏洞。Repeater中继器一个靠手动操作触发单独的http请求并分析应用程序相应的工具。sequencer会话用来分析哪些不可预知的应用程序回话令牌和重要数据项的随机性的工具。Decoder解码器进行手动执行或对应用程序数据者智能解码编码的工具。comparer对比通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。extender扩展可以让你加载Burp Suite的扩展使用你自己的或第三方代码来扩展burp suit的功能。三、基础配置或者字体设置四、https证书导入和手机app流量接货《chrome浏览器》4.1 https简介超文本传输安全协议(Hypertext Transfer Protocol Secure,缩写:https常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。具体介绍之前先来介绍HTTPHTTP是我们平时浏览网页时使用的一种协议。HTTP协议传输的数据都是为加密的即明文因此使用HTTP协议传输隐私信息非常不安全。HTTP使用80端口通讯HTTPS使用443端口通讯。在计算机网络上HTTPS经由超文本传输协议(HTTP) 进行通信但利用SSL/TLS来加密数据包。HTTPS开发的主要目的是提供对网络服务器的身份认证保护交换数据的隐私与完整性。4.2 https协议和http协议的区别https协议需要到ca盛情证书一般免费证书很少需要缴费。http是超文本传输协议信息是明文传输https则是具有安全性的ssl加密传输协议http和https使用的是完全不同的连接方式使用的端口也不一样。前者80后者443.http的连接很简单是无状态的。https协议是由sslhttp协议构建的可进行加密传输、身份认证的网络协议要比http协议安全。4.3 代理配置《chrome》4.4 burp自带浏览器五、流量截获5.1 启用代理5.2 浏览器访问www.baidu.comburpsuite接收5.3 导出证书方法一、关闭burp代理web界面获取证书方法二、burp代理中导出5.4 导入证书重启浏览器,再次抓包六、抓包6.1 逍遥模拟器配置下载webhttps://www.xyaz.cn/download.html?filenameXYAZ-Installer-ch7c8b0000fromhome注意安装过程中需要设置密码打开无线网络长按6.2 雷电模拟器配置然后双击即可安装。