介绍

在测试Web应用程序的安全性时，将很难找到比Portswigger Web Security的Burp Suite更好的一组工具。它让你可以拦截和监视Web流量，以及有关到服务器的请求和响应的详细信息。

Burp Suite中的功能太多，仅需一本指南即可涵盖，因此该指南将分为四个部分。第一部分将介绍如何设置Burp Suite并将其用作Firefox的代理。第二篇将介绍如何收集信息和使用Burp Suite代理。第三部分使用通过Burp Suite代理收集的信息进入一个实际的测试场景。第四指南将介绍Burp Suite必须提供的许多其他功能。

在本指南中，你可以练习在WordPress的自托管实例上使用Burp Suite。
Burp Suite默认安装在Kali Linux上，因此不必担心安装它。实际上，它是Kali live CD上“收藏夹”列表中的应用程序之一。

打开它，然后单击打开菜单。只需使用默认值即可。Burp Suite可以进行一定程度的配置，但是对于基本用法来说并不必要。

设置Firefox

Burp Suite包含一个拦截代理。为了使用Burp Suite，必须将浏览器配置为通过Burp Suite代理传递其流量。使用Firefox（这是Kali Linux上的默认浏览器）并不太难。

打开Firefox，然后单击菜单按钮以打开Firefox设置菜单。在菜单中，单击“首选项”。这将在Firefox中打开“首选项”标签。该选项卡的最左侧是另一个菜单列表。单击最后一个选项“高级”。“高级”标签的顶部是一个新菜单。单击中心的“网络”选项。在“网络”部分中，单击顶部标记为“设置…”的按钮，这将打开Firefox的代理设置。
Firefox内置了许多用于处理代理的选项。对于本指南，选择“手动代理配置：”单选按钮。这将打开一系列选项，使你可以为多种协议中的每一种手动输入代理的IP地址和端口号。默认情况下，Burp Suite在port上运行8080，并且由于你是在自己的计算机上运行它，因此输入127.0.0.1IP。你主要关心的将是HTTP，但是如果你感到懒惰，可以选中“对所有协议使用此代理服务器”复选框。

在其他手动配置选项下面是一个框，允许代理写入豁免。Firefox会同时添加名称localhost和，127.0.0.1，到此字段。删除或修改它们，因为你将要监视浏览器与本地托管的WordPress安装之间的流量。

配置Firefox后，你可以继续配置Burp并启动代理。

配置代理

默认情况下，应该配置代理，但是请花一秒钟时间仔细检查。如果你以后想更改设置，可以按照相同的方法进行。
在Burp Suite窗口中，单击选项卡顶部一行的“代理”，然后单击较低级别的“选项”。屏幕顶部应显示“代理侦听器”，并带有一个带有localhostIP和port 的框8080。左侧旁边应是“运行”列中的复选框。如果是这样，你就可以开始使用Burp Suite捕获流量了。

总结思想
至此，已经将Burp套件作为Firefox的代理运行，并且可以开始使用它来捕获从Firefox到本地托管的WordPress安装的信息。

在下一指南中，将捕获该信息并学习如何阅读并将其分解为可用的部分。Burp Suite可以收集的信息量非常惊人，它为测试Web应用程序开辟了新的可能性。