一、Burp Suite

Burp Suite代理工具是以拦截代理的方式，拦截所有通过代理的网络流量，如客户端的请求数据、服务端的返回信息等。Burp Suite主要拦截HTTP和HTTPS 协议的流量，通过拦截，以中间人的方式对客户端的请求数据、服务端的返回信息做各种处理，以达到安全测试的目的。在日常工作中，最常用的web客户端就是web浏览器，可以通过设置代理信息，拦截web浏览器的流量，并对经过Burp Suite代理的流量数据进行处理。

一、测试准备

1、本已安装BurpSuite，并启动，默认本地代理端口为8080

2、设置浏览器代理

3、抓取https请求需要安装CA证书

（1）burpsuit导出证书：

（2）浏览器导入此证书：

二、拦截包

1、burpsuit-代理-截断，设置拦截请求

2、浏览器访问网站

3、请求会被拦截，拦截后可以选择放包：不拦截此包，废包：丢弃此包

三、改包

1、修改请求包

（1）burpsuit设置拦截请求

（2）找到需要修改的请求包，修改请求报文

（3）修改完成后点击放包，则会发送修改后的包

2、修改响应包

（1）burpsuit设置拦截请求

（2）找到需要修改响应包的请求，点击行动-拦截执行-此请求的响应

（3）点击放包，找到响应包，修改包

（4）修改后点击放包，则会将修改后的响应包返回给浏览器