Burp Suite 安全测试

低风险

作者 @sickn33已验证来源

4.5297 次安装v1.0.0更新于 2026年5月25日

使用方式

在 Claude Code 中运行以下命令

第一步：添加 Marketplace

/plugin marketplace add sickn33/antigravity-awesome-skills

第二步：安装插件

/plugin install antigravity-awesome-skills@antigravity-awesome-skills

关于

使用 Burp Suite 集成工具集执行全面的 Web 应用安全测试，包括 HTTP 流量拦截和修改、请求分析和重放、自动化漏洞扫描和手动测试工作流。

name: burp-suite-testing description: "使用 Burp Suite 集成工具集执行全面的 Web 应用安全测试，包括 HTTP 流量拦截与修改、请求分析与重放、自动化漏洞扫描和手动测试工作流。" risk: offensive source: community author: zebbern date_added: "2026-02-27"

仅限授权使用：此技能仅用于授权的安全评估、防御验证或受控教育环境。

Burp Suite Web 应用测试

目的

使用 Burp Suite 集成工具集执行全面的 Web 应用安全测试，包括 HTTP 流量拦截与修改、请求分析与重放、自动化漏洞扫描和手动测试工作流。此技能通过基于代理的测试方法论实现系统化发现和利用 Web 应用漏洞。

输入 / 前置条件

必需工具

已安装 Burp Suite 社区版或专业版
Burp 内置浏览器或已配置的外部浏览器
目标 Web 应用 URL
用于认证测试的有效凭据（如适用）

环境配置

已启动 Burp Suite 并创建临时或命名项目
代理监听器在 127.0.0.1:8080（默认）上活跃
浏览器已配置使用 Burp 代理（或使用 Burp 内置浏览器）
已安装 CA 证书用于 HTTPS 拦截

版本对比

| 功能 | 社区版 | 专业版 | |---------|-----------|--------------| | Proxy | ✓ | ✓ | | Repeater | ✓ | ✓ | | Intruder | 受限 | 完整 | | Scanner | ✗ | ✓ | | Extensions | ✓ | ✓ |

输出 / 交付物

主要输出

拦截和修改的 HTTP 请求/响应
包含修复建议的漏洞扫描报告
HTTP 历史记录和站点地图文档
已识别漏洞的概念验证利用

核心工作流

阶段 1：拦截 HTTP 流量

启动 Burp 内置浏览器

导航到集成浏览器以实现无缝代理集成：

打开 Burp Suite 并创建/打开项目
转到 Proxy > Intercept 标签页
点击 Open Browser 启动预配置浏览器
调整窗口位置以同时查看 Burp 和浏览器

配置拦截

控制捕获哪些请求：

Proxy > Intercept > Intercept is on/off toggle

开启时：请求暂停等待审查/修改
关闭时：请求直接通过，记录到历史

拦截和转发请求

处理拦截的流量：

将拦截开关设为 Intercept on
在浏览器中导航到目标 URL
观察请求被保持在 Proxy > Intercept 标签页
审查请求内容（头部、参数、正文）
点击 Forward 将请求发送到服务器
继续转发后续请求直到页面加载完成

查看 HTTP 历史

访问完整流量日志：

转到 Proxy > HTTP history 标签页
点击任意条目查看完整请求/响应
点击列标题排序（# 为时间顺序）
使用过滤器聚焦相关流量

阶段 2：修改请求

拦截并修改

在转发前更改请求参数：

启用拦截：Intercept on
在浏览器中触发目标请求
在拦截的请求中定位要修改的参数
直接在请求编辑器中编辑值
点击 Forward 发送修改后的请求

常见修改目标

| 目标 | 示例 | 目的 | |--------|---------|---------| | 价格参数 | price=1 | 测试业务逻辑 | | 用户 ID | userId=admin | 测试访问控制 | | 数量值 | qty=-1 | 测试输入验证 | | 隐藏字段 | isAdmin=true | 测试权限提升 |

示例：价格篡改

POST /cart HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

productId=1&quantity=1&price=100

# 修改为：
productId=1&quantity=1&price=1

结果：商品以修改后的价格添加到购物车。

阶段 3：设置目标范围

定义范围

聚焦测试到特定目标：

转到 Target > Site map
在左侧面板右键点击目标主机
选择 Add to scope
提示时点击 Yes 排除范围外流量

按范围过滤

从 HTTP 历史中移除噪音：

点击 HTTP 历史上方的显示过滤器
选择 Show only in-scope items
历史现在只显示目标站点流量

范围的好处

减少第三方请求的干扰
防止意外测试范围外的站点
提高扫描效率
生成更清晰的报告

阶段 4：使用 Burp Repeater

发送请求到 Repeater

准备请求进行手动测试：

在 HTTP 历史中识别有趣的请求
右键点击请求并选择 Send to Repeater
转到 Repeater 标签页访问请求

修改并重发

高效测试不同输入：

1. 在 Repeater 标签页查看请求
2. 修改参数值
3. 点击 Send 提交请求
4. 审查响应

兼容工具

Claude CodeCursor