概述

Burp Suite 是用于攻击web 应用程序的集成平台，包含了许多工具。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。

WIN下安装

获取

官网获取：https://portswigger.net/burp

java环境安装

因为burpsuite是在JAVA环境下运行的，所以首先应该配置好JAVA环境
java安装详见我的另一篇文章《在windows下安装 Elasticsearch》

安装Burpsuite

下载完成exe包直接点击安装就行，然后双击打开会出现如下界面，

这些配置直接跳过，点击下一步就行

配置 Burp suite 代理 ，打开burp 选择 proxy——->options

默认是8080端口，这个端口比较常用，如果冲突记得修改一下，我的改成8081了。

浏览器进行配置

这里以谷歌浏览器为例 ,其他浏览器类似，可自行百度。设置——->高级 ——->打开您计算机的代理设置，如下图

点击打开如下如设置

设置完代理，设置burp suite

抓HTTPS数据包

如果出现如下情况，解决办法就是安装burp的受信任证书。

安装SSL受信任证书，打开浏览器访问 http://burp ，点击CA Certificate 下载证书进行安装

在使用Burp site对HTTPS进行拦截时他会提示,你的连接不是私密连接或此连接不信任等,这是由于通常情况下burp默认只抓HTTP的包，HTTPS因为含有证书，因而无法正常抓取，抓HTTPS数据包就需要设置可信证书。

下载完成的文件名是：cacert.der，后缀名是.der文件（证书的编码方式不一样），这个文件不是常规的.cer的证书文件，下面就是让浏览器信任我们刚才导出的证书。

打开浏览器设置（我这里是谷歌）

隐私设置和安全性->证书管理->中间证书颁发机构

选择下载的文件下一步下一步导入就可以。

导出证书

导入刚才的cacert.der文件，那么在服务器中就会存在“PortSwigger CA”这样的证书（burp的内置证书）、然后选中它进行导出

这里选择base64

自己建一个xxx.cer文件，然后选择它并替换就行

导入cer证书

切换到受信任的证书颁发机构，进行导入刚才的cer文件

效果

导入之后开启代理，不会出现警告了，

开启burp suite 抓包

ok！

问题

burp suite 中文乱码问题

按照如下步骤设置：