Burp Suite代理配置与核心模块实战：Web安全测试入门指南

2026/6/26 10:02:37

1. 项目概述：为什么说Burp Suite是安全测试的“瑞士军刀”？

如果你刚接触Web安全测试，或者想从简单的浏览器开发者工具进阶到更专业的渗透测试，那么Burp Suite这个名字你肯定绕不过去。它不是什么新潮的框架，但在安全圈里，它的地位就像程序员手里的Visual Studio Code，测试工程师的“吃饭家伙”。很多人第一次打开Burp，面对满屏的标签页和按钮会有点懵：这玩意儿到底怎么用？特别是那个最基础也最关键的“代理设置”，为什么我配置了半天，浏览器就是抓不到包？

这正是我想和你聊的。今天我们不谈那些高深的漏洞利用链，就从最接地气的“代理设置”和“核心模块怎么用”开始。我见过太多新手，包括几年前的我自己，卡在第一步——让Burp Suite成功拦截到浏览器的流量。这就像你想学开车，却连怎么启动引擎都搞不定，后面的路还怎么走？所以，这篇内容的目标很明确：帮你把Burp Suite这把“瑞士军刀”的刀鞘打开，让你看清楚每一把工具刀是干嘛的，以及最关键的，怎么把它们稳稳地握在手里。我们会从最核心的代理工作原理讲起，手把手带你配置，然后逐一拆解Intruder、Repeater、Decoder这些核心模块，最后分享一些我踩过坑才总结出来的实战心得。无论你是安全专业的学生，还是想转行渗透测试的开发者，跟着走一遍，你就能独立完成一次基础的Web应用安全测试了。

2. 核心原理与工作流程拆解：Burp Suite是如何“中间人”你的流量的？

在深入点击那些按钮之前，我们必须先搞懂Burp Suite最核心的工作模式：它本质上是一个本地代理服务器。理解这一点，是后续所有操作的基础。

2.1 代理模式：Burp Suite的“中间人”角色

你可以把网络请求想象成你（客户端）和网站服务器（服务端）之间的一封封信件。正常情况下，这封信是直接从你的邮局（浏览器）寄到对方的邮局（服务器）。而Burp Suite扮演的角色，就是在你的本地电脑上，强行设立了一个“信件检查站”。

当你配置浏览器使用Burp Suite作为代理后，流程就变成了这样：

你的浏览器说：“我要访问https://example.com。”
浏览器发现系统设置了代理，于是它没有直接把请求发往互联网，而是发给了你电脑上Burp Suite正在监听的某个端口（默认是127.0.0.1:8080）。
Burp Suite（Proxy模块）收到了这封“信”。此时，它可以选择：
- 拦截并查看（Intercept is on）：把信扣下来，让你仔细检查甚至修改里面的内容（请求头、参数、Cookie等），然后再决定是放行还是丢弃。
- 直接放行（Intercept is off）：只是默默记录下这封信的副本（在HTTP history里），然后原封不动地转发给目标服务器example.com。
服务器处理请求后，将响应数据（回信）发回。
响应数据同样会先经过Burp Suite这个“检查站”。如果开启了拦截，你同样可以查看和修改响应，再让它返回给浏览器；如果关闭拦截，则只是记录后转发。

这个过程就是经典的“中间人”攻击原理，只不过这个“攻击者”是你自己，目的是为了安全测试。Burp Suite的强大之处在于，它不仅仅是个“检查站”，更是一个功能齐全的“信件分析处理中心”。它把拦截到的所有请求和响应，分门别类地送到不同的功能模块（我们后面要讲的Intruder、Repeater等）进行处理，每个模块就像是一个 specialized 的车间，负责完成特定的测试任务。

注意：正是因为Burp Suite充当了“中间人”，所以它会为每个HTTPS连接生成自己的证书。这就是为什么你第一次用Burp访问HTTPS网站时，浏览器会报警告“证书不受信任”。你必须将Burp的CA证书导入到浏览器或系统的受信任根证书颁发机构中，才能正常解密和查看HTTPS流量。这是新手必踩的第一个坑，我们会在实操部分详细解决。

2.2 核心模块协同工作流

理解了代理是总入口，我们再来看看数据在Burp Suite内部是如何流动的，这能帮你建立起全局观：

数据捕获（Proxy -> HTTP History）：所有流经代理的请求和响应，无论是否被拦截，都会被永久记录在Proxy -> HTTP history标签页中。这里是你的“原始数据仓库”，你可以在这里回顾、搜索任何历史流量。
目标界定（Target -> Site map）：随着你浏览目标应用，Burp会自动将发现的所有主机、目录、文件、参数整理成一个可视化的站点地图（Site map）。这是你的“攻击面地图”，帮助你理解应用结构。
主动扫描（Scanner）：对于专业版用户，可以基于站点地图或选定的请求，启动自动化的漏洞扫描。Scanner模块就像一个自动化测试机器人，按照规则库去尝试各种攻击payload。
手动测试与探索（Proxy -> Intercept, Repeater）：这是手动测试的核心。你在Intercept标签页拦截一个感兴趣的请求，可以直接在界面上修改参数，然后点击“Forward”放行观察结果。对于需要反复测试的请求，右键选择“Send to Repeater”，它就会被发送到Repeater模块。Repeater是一个独立的“请求编辑与重放器”，你可以在这里无限次地修改并重发同一个请求，非常适合精细化的漏洞验证和参数fuzz。
自动化攻击（Intruder）：当你发现一个可能存在漏洞的点（比如一个登录框的密码参数），想用大量不同的payload（如字典里的密码、SQL注入语句）去暴力测试时，就把这个请求右键“Send to Intruder”。Intruder模块是Burp的“自动化攻击引擎”，它可以自动替换你标记的位置，并发起海量请求，然后帮你分析响应，找出异常（如响应长度不同、包含特定错误信息等）。
数据加工（Decoder）：在测试过程中，你经常会遇到编码后的数据（如URL编码、Base64、HTML编码）。Decoder模块就是你的“编解码工具箱”，可以方便地进行各种编码/解码、哈希计算、智能解码，避免手动处理的麻烦。
对比分析（Comparer）：这个模块用于精确比较两个请求或响应之间的差异，比如登录成功和失败时服务器返回的响应有何细微不同，这对于绕过某些防御机制（如Token校验）非常有用。

这个工作流不是线性的，而是一个以Proxy和Target为中心，其他模块灵活调用的网状结构。你的测试过程，就是在这些模块间不断切换和协作的过程。

3. 从零开始：手把手配置Burp Suite代理与环境

理论懂了，现在我们来实战。假设你刚刚打开Burp Suite Community Edition（社区版），面对一个空白的界面，我们一步步来。

3.1 Burp Suite基础配置与启动

首先，确保你从官网下载了Burp Suite。启动后，社区版会提示你创建临时项目或加载已有项目，选择“Temporary project”（临时项目）和“Use Burp defaults”（使用默认配置）即可进入主界面。

进入后，第一件事是检查并确认代理监听器正在运行：

点击顶部菜单栏的Proxy，选择Options标签页。
你应该能看到一个默认的监听器（Listener），运行在127.0.0.1:8080上。状态应该是Running。如果没有，选中它并点击 “Edit”，然后确保 “Bind to port” 是8080，“Bind to address” 是127.0.0.1，最后点击 “Start” 启动它。

这个127.0.0.1:8080就是你本地代理服务器的地址。接下来，我们需要让浏览器知道，以后所有的网络请求都要先送到这个地址。

3.2 浏览器代理配置详解（以Firefox为例）

不同浏览器配置代理的方式大同小异。这里以Firefox为例，因为它对代理的支持更灵活，且常作为安全测试的专用浏览器。

方法一：使用Firefox内置代理设置（推荐）这是最简单的方法，配置只对当前Firefox生效，不影响系统其他应用。

打开Firefox，点击右上角菜单 ->设置。
在设置页面最下方，找到网络设置部分，点击“设置...”。
在弹出的连接设置窗口中，选择“手动代理配置”。
在 “HTTP代理” 和 “SSL代理” 两个字段中，均填入127.0.0.1，端口填8080。
非常重要：在 “不使用代理的地址” 列表中，确保没有localhost和127.0.0.1。如果有，请删除它们。因为Burp Suite本身就在本地，如果你访问本地服务（如http://localhost:3000）的流量也走代理，可能会形成循环或无法访问。
点击确定。

方法二：使用浏览器插件（如FoxyProxy）对于需要频繁切换代理场景（比如在Burp代理、系统直连、其他代理工具之间切换）的测试者，使用插件更方便。

在Firefox插件商店安装FoxyProxy Standard。
安装后，点击工具栏上的FoxyProxy图标，选择 “选项”。
添加一个新的代理，名称如 “Burp Suite”，代理类型选 “HTTP/HTTPS”，代理IP填127.0.0.1，端口填8080。
保存后，你就可以通过点击FoxyProxy图标，快速在 “使用系统代理设置”、“使用Burp Suite代理”、“不使用代理” 等模式间一键切换，效率极高。

实操心得：我强烈推荐使用方法二（FoxyProxy）。在实际测试中，你经常需要对比开启代理和关闭代理时页面的行为差异，或者临时访问一些不需要代理的页面（如下载文件）。用FoxyProxy切换就是一秒钟的事，而修改系统或浏览器全局设置则麻烦得多。

3.3 解决HTTPS流量捕获的“拦路虎”：安装CA证书

配置好代理后，你尝试访问一个HTTP网站（如http://httpbin.org），如果Burp的Proxy -> Intercept是开启状态，请求应该能被拦截。但当你访问一个HTTPS网站（如https://google.com）时，浏览器会显示“连接不安全”或“证书无效”的警告，且Burp可能看不到明文流量。

这是因为HTTPS的证书校验机制在起作用。Burp作为中间人，需要“冒充”目标网站，用自己的证书与浏览器建立TLS连接。浏览器不认识Burp签发的证书，所以报警。

解决方法：将Burp的CA证书安装为受信任的根证书。

从Burp导出证书：
- 确保你的浏览器代理已正确指向Burp。
- 在浏览器中访问http://burpsuite或http://127.0.0.1:8080。这是一个Burp内置的页面。
- 点击页面上的“CA Certificate”链接，下载证书文件（通常名为cacert.der）。
在Firefox中导入证书：
- 打开Firefox设置，搜索 “证书”。
- 点击“查看证书”。
- 在弹出的证书管理器窗口中，选择“证书机构”标签页。
- 点击“导入...”，选择刚才下载的cacert.der文件。
- 在弹出的对话框中，务必勾选“信任此CA以标识网站”，然后点击确定。
- 你应该能在列表中找到名为 “PortSwigger CA” 的证书。
验证：
- 重启Firefox。
- 再次访问https://google.com。这次，浏览器可能仍会有一个小提示（因为证书的Subject和实际域名不符，这是Burp中间人的正常现象），但不会阻止你连接。同时，在Burp Suite的Proxy历史记录或拦截窗口中，你应该能看到明文的HTTPS请求和响应了。

踩坑记录：这里最容易出问题的地方是，有些人只在系统的证书存储区导入了证书，但Firefox使用自己的独立证书库。所以，必须确保在Firefox的证书管理器里完成导入。同理，如果你使用Chrome/Edge（它们通常使用系统证书库），就需要将证书导入到操作系统的受信任根证书颁发机构中。

4. 核心模块深度解析与实战应用

环境配通了，现在我们来逐一拆解Burp Suite里那些最常用、也最强大的模块，看看它们在实际测试中到底怎么用。

4.1 Proxy模块：不仅仅是拦截

Proxy模块是Burp的“总闸门”和“记录仪”。除了基础的拦截开关，它的几个子标签页各有妙用：

Intercept（拦截）：这是最常用的界面。一个大的“Intercept is on/off”按钮控制全局拦截。当它为“on”时，每一个经过代理的请求（或响应）都会暂停在这里，等待你的指令。你可以：
- Forward：放行当前请求/响应。
- Drop：丢弃它，不让它继续传递。
- Action：右键菜单，可以执行一系列操作，如发送到其他模块、改变请求方法、进行编码等。
- 编辑区域：直接修改请求的任意部分，包括URL、参数、Headers、Body。这是手动测试的核心操作。
HTTP history（HTTP历史）：所有流量的档案馆。这里记录了所有经过代理的请求和响应。你可以通过过滤器（Filter）快速筛选，比如只显示某个域名的请求、只显示带参数的请求、只显示响应码为200的请求等。实战技巧：在测试初期，我会用浏览器把目标网站的所有功能点都点一遍，同时保持Burp代理开启但拦截关闭。然后回到HTTP history，利用过滤器筛选出js, css, image等静态资源，将其隐藏，专注于分析业务接口（通常是json,xml或带参数的GET/POST请求）。
WebSockets history：如果目标应用使用了WebSocket协议，这里的通信记录也会被捕获和显示。
Options（选项）：这里有很多高级配置。对于新手，重点关注：
- 代理监听器（Proxy Listeners）：可以添加多个监听器，绑定不同IP和端口。
- 拦截规则（Intercept Client Requests/Server Responses）：可以设置基于域名、文件类型、状态码等条件的复杂规则，实现“智能拦截”。例如，你可以设置一条规则：“当请求URL包含/api/login时，自动拦截”，这样就不会被无关的图片、CSS请求打扰。

4.2 Intruder模块：自动化攻击引擎

Intruder是Burp Suite的“重炮”。当你想对一个参数进行暴力破解、模糊测试（Fuzzing）、枚举敏感信息时，它就是最佳选择。它的工作流程分为四步：定位目标 -> 标记攻击点 -> 选择攻击模式 -> 配置Payload并执行。

实战案例：对登录接口进行用户名枚举

假设我们测试一个登录接口POST /login，它接收参数username和password。我们发现，当用户名不存在时，返回“用户不存在”；当用户名存在但密码错误时，返回“密码错误”。这就是典型的用户名枚举漏洞。

定位与发送：在Proxy的HTTP history中找到这个登录请求，右键选择“Send to Intruder”。
标记攻击点：切换到Intruder的“Positions”标签页。Burp会自动用§符号标记出它认为可能是参数的位置。我们清空所有自动标记（点击 “Clear §”），然后手动选中username参数的值（比如admin），点击 “Add §”。这样我们就告诉Intruder：“攻击时，只替换这个位置的内容”。
选择攻击模式：在 “Attack type” 下拉菜单中，有四种模式：
- Sniper（狙击手）：对一个参数集使用一个Payload列表，逐个替换攻击点。这是我们最常用的模式，适合对单个参数进行枚举或Fuzz。
- Battering ram（攻城锤）：对所有标记位置使用同一个Payload列表，同时替换所有攻击点。
- Pitchfork（草叉）：为每个标记位置配置不同的Payload列表，然后同时迭代。比如位置1用用户名字典，位置2用密码字典，它会将两个字典的第一行、第二行...分别组合。
- Cluster bomb（集束炸弹）：为每个标记位置配置不同的Payload列表，并进行笛卡尔积组合。这是暴力破解用户名密码的经典模式。对于用户名枚举，我们只有一个攻击点，所以选择Sniper模式。
配置Payload：切换到“Payloads”标签页。
- 在 “Payload set” 选择 1（因为我们只有一个攻击点集）。
- 在 “Payload type” 可以选择 “Simple list”（简单列表），然后在下方的 “Payload Options” 区域，粘贴或加载你的用户名字典文件（如common_usernames.txt）。
开始攻击：点击右上角的“Start attack”。Intruder会弹出一个新窗口，用字典里的每个用户名替换username参数，并发起大量请求。
结果分析：攻击窗口会列出所有请求和响应。关键看“Length”和“Status”列。如果某个用户名的响应长度（或状态码）与其他绝大多数不同，那这个用户名很可能就是存在的。你可以点击该行，在下方查看响应内容，确认是否是“密码错误”而非“用户不存在”。

避坑技巧：使用Intruder前，务必在“Options”标签页设置“线程数（Number of threads）”。对于普通Web应用，建议设置在5-10之间。过高的线程数会触发目标服务器的速率限制（Rate Limiting）或直接把你IP封掉。另外，可以设置“请求间隔（Throttle between requests）”来降低请求频率，模拟更“温和”的测试行为。

4.3 Repeater模块：手动测试的“沙盒”

Repeater是手动测试的利器。它就像一个独立的HTTP客户端，允许你对单个请求进行任意次数的修改和重放，并即时查看响应。

典型使用场景：

漏洞验证：在Intruder或Scanner发现一个疑似漏洞点（如一个可能的SQL注入参数）后，发送到Repeater进行精细化的手工验证。你可以尝试'、\"、1 AND 1=1、1 AND 1=2等经典payload，观察响应差异。
逻辑漏洞测试：修改订单金额、用户ID、商品数量等参数，测试业务逻辑缺陷。
会话管理测试：修改Cookie、Token等会话标识，测试是否存在水平越权或垂直越权。
编码/解码测试：结合Decoder模块，快速对参数进行各种编码后重放。

操作界面：Repeater界面分为左右两栏，左栏是请求编辑器，右栏是响应查看器。你可以自由修改请求的任何部分，点击 “Send” 发送，响应会实时显示在右栏。右栏通常有 “Raw”（原始响应）、 “Headers”（仅头部）、 “Hex”（十六进制）、“Render”（渲染，即浏览器视图）等标签页，方便你从不同角度分析响应。

4.4 Decoder与Comparer：辅助分析的双子星

Decoder模块：这是一个编码/解码/哈希的瑞士军刀。你可以在输入框粘贴一段数据，然后从左侧的列表中选择操作（如URL decode、Base64 decode、MD5 hash等）。它支持链式操作，比如你可以先进行URL解码，再对结果进行Base64解码。在测试中，经常遇到服务器对参数进行了多重编码，用Decoder可以快速理清原始数据。
Comparer模块：用于比较两段文本（通常是两个请求或两个响应）的差异。它支持“Words”（按单词比较）和“Bytes”（按字节比较）两种模式。例如，在测试验证码绕过时，你可以分别发送一个正确验证码和一个错误验证码的请求，然后用Comparer比较两个服务器响应，找出除了“验证码错误”明文提示外的细微差异（比如某个隐藏字段值的变化、JSON结构里多了一个属性等），这可能就是绕过验证的关键。

5. 实战串联：一次简单的Web应用安全测试演练

让我们把上面的模块串联起来，模拟一次对某个假设网站 (vulnerable.demo) 的简单测试流程，巩固理解。

目标：测试其登录功能 (POST /api/login) 和用户信息查询功能 (GET /api/userinfo?id=) 是否存在漏洞。

步骤1：环境配置与爬取站点地图

启动Burp，配置Firefox代理指向127.0.0.1:8080，并安装好CA证书。
在Burp中，确保Proxy -> Intercept处于“Intercept is off”状态。
在Firefox中，手动浏览http://vulnerable.demo网站。登录、查看个人资料、退出等，把所有功能点都点一遍。
回到Burp，切换到Target -> Site map。你应该能看到vulnerable.demo域名下出现了许多分支，这就是Burp自动为你构建的站点地图。展开它，你可以清晰地看到网站的所有目录和接口。

步骤2：分析并测试登录接口

在Site map或HTTP history中，找到登录请求POST /api/login。右键，“Send to Repeater”。
在Repeater中，查看请求体，发现参数是username=test&password=123。
测试SQL注入：将username参数改为admin'--，点击Send。观察响应。如果返回了管理员后台页面或不同于普通错误的响应，可能存在SQL注入。可以进一步在Repeater中尝试更复杂的payload。
测试用户名枚举：如果步骤3无果，我们怀疑存在用户名枚举。右键该请求，“Send to Intruder”。
在Intruder的Positions标签页，清空自动标记，只标记username参数值为攻击点。攻击模式选Sniper。
在Payloads标签页，加载一个常见的用户名字典，开始攻击。分析结果，寻找响应长度或内容异常的条目，以判断哪些用户名存在。

步骤3：测试用户信息查询接口

在历史记录中找到GET /api/userinfo?id=1这样的请求。
测试IDOR（不安全的直接对象引用）：在Repeater中，将id参数改为2，发送。如果你看到了用户2的信息，而当前登录的是用户1，那么就存在经典的越权漏洞。
测试SQL注入（数字型）：将id参数改为1 AND 1=1和1 AND 1=2，分别发送。如果两个响应不同（例如一个正常返回数据，一个返回空或错误），则很可能存在数字型SQL注入。

步骤4：利用Decoder处理复杂数据假设在测试某个接口时，发现参数data是一串像JTJGdXNlciUyRmFkbWlu这样的乱码。

复制这串值，切换到Decoder模块。
粘贴到输入框，在左侧依次尝试解码。先尝试URL decode，可能得到/user/admin。如果不行，再尝试Base64 decode。Decoder的“智能解码”功能有时能自动识别。
解码后，你发现参数其实是路径/user/admin。那么你就可以在Repeater中修改这个参数为/user/other进行越权测试。

步骤5：使用Comparer进行精细对比在测试登录时，你发现无论密码对错，响应码都是200，只是返回的JSON里有个success字段分别为true和false。

在Repeater中，分别用正确密码和错误密码发送两次请求。
分别在这两个请求的响应上右键，选择“Send to Comparer” -> “Response”。
打开Comparer模块，点击 “Words” 或 “Bytes” 进行对比。高亮部分会精确显示出两者所有的差异。这能帮你确认，除了success字段，是否还有其他隐藏的标识位（如一个不易察觉的isAdmin字段）发生了变化。

通过这样一个简单的串联演练，你应该能体会到Burp Suite各个模块是如何有机协作，共同完成一次安全测试的。Proxy是眼睛和耳朵，负责收集信息；Target是地图，帮你理清结构；Repeater和Intruder是左右手，负责手动探索和自动化攻击；Decoder和Comparer是辅助工具，帮你处理细节和发现差异。

6. 进阶配置与疑难问题排查

当你熟悉了基本操作后，一些进阶配置和常见问题会让你用得更顺手。

6.1 代理设置进阶：上游代理与作用域

上游代理（Upstream Proxy）：如果你的网络环境需要经过公司或实验室的代理才能访问外网，那么就需要在Burp中配置上游代理。位置在Proxy -> Options -> Proxy Listeners -> Edit -> Request handling标签页底部。勾选 “Override upstream proxy”，然后填入你公司代理的地址和端口。这样，Burp拦截的流量会先发往你的上游代理，再由它转发到互联网。
作用域（Target Scope）：在Target -> Scope中，你可以定义测试的目标范围。添加规则（如*.vulnerable.demo）后，Burp的很多功能（如Scanner、被动爬虫）将只针对范围内的目标工作，避免干扰到其他无关网站。Proxy的拦截和历史记录也可以设置为“只显示在作用域内的项目”，让界面更清爽。

6.2 常见问题与解决方案速查表

问题现象	可能原因	解决方案
浏览器无法访问任何网页	1. Burp代理监听器未启动。 2. 浏览器代理设置错误（IP或端口）。 3. 防火墙/安全软件阻止了Burp。	1. 检查`Proxy -> Options`，确保监听器`Running`。 2. 核对浏览器代理设置是否为`127.0.0.1:8080`。 3. 暂时关闭防火墙或为Burp添加例外规则。
能访问HTTP网站，但HTTPS网站报证书错误	Burp的CA证书未正确安装到浏览器的受信任根证书库。	按照上文【3.3】步骤，从`http://burpsuite`下载证书，并导入到浏览器自身的证书管理器中。
Burp能拦截HTTP流量，但HTTPS流量是乱码或看不到	1. 证书问题（同上）。 2. 某些现代浏览器或应用使用了证书钉扎（Certificate Pinning）。 3. 访问的是本地回环地址（如localhost）。	1. 确保证书已安装且受信。 2. 对于证书钉扎的应用（如某些APP、银行网站），Burp可能无法解密。可尝试使用专业版的“TLS证书钉扎绕过”功能，或使用其他测试方法。 3. 检查浏览器“不使用代理的地址”列表，确保没有`localhost, 127.0.0.1`。
Intruder攻击速度很慢或大量请求失败	1. 线程数设置过高，触发服务器防护。 2. 网络不稳定或目标服务器处理慢。 3. 请求中包含无效会话，服务器返回重定向或错误。	1. 降低线程数（如设为5），并增加请求间隔。 2. 检查网络连接。 3. 在Intruder的 “Resource Pool” 或 “Options” 中，配置处理重定向和会话更新。更好的方法是，在攻击前，在 “Project options -> Sessions” 中配置会话处理规则，让Burp自动维持有效会话。
Repeater发送的请求返回状态与浏览器不同	1. Repeater请求中缺失了必要的Header（如`Cookie`,`User-Agent`,`X-CSRF-Token`）。 2. 服务器有状态校验，Repeater使用的是旧会话。	1. 从浏览器成功请求的原始记录中，复制所有Headers到Repeater的请求中。 2. 从浏览器当前有效的请求中，右键 “Copy as curl command”，然后粘贴到Repeater的 “Paste from curl” 功能中，可以完美复制所有信息。或者配置会话处理规则。

6.3 性能优化与使用习惯

关闭不必要的模块：如果你只做手动测试，可以关闭占用资源较多的Scanner和Spider（爬虫）模块。在 “Dashboard” 标签页可以控制它们的开关。
定期清理历史记录：长时间测试后，HTTP history会非常庞大，占用内存。可以定期右键选择 “Filter by search term” 过滤出需要保存的请求，然后 “Delete all but selected” 删除其他，或者直接 “Clear history”。
善用搜索和注释：在HTTP history中，对重要的请求右键添加注释（Add comment）。利用顶部的搜索栏（支持正则表达式）可以快速定位。例如，搜索post.*login可以找到所有登录的POST请求。
项目保存：社区版不支持保存项目，但专业版可以。养成阶段性保存项目的习惯，避免意外关闭导致工作丢失。

Burp Suite是一个深度和广度都极大的工具，本文涵盖的只是其核心功能的入门与实战基础。真正的高手，还会深入使用它的Extender（扩展）API来编写自定义插件，利用Sequencer分析会话令牌的随机性，用Collaborator检测盲注漏洞等。但无论如何，熟练掌握代理设置、Intruder、Repeater、Decoder这几个核心模块，已经足以让你应对80%以上的Web应用安全测试场景。剩下的，就是在一次次真实的项目测试中，不断积累经验，探索更深的功能。记住，工具是死的，思路是活的。Burp Suite给了你强大的武器，但发现漏洞的关键，始终在于你对Web应用工作原理的理解和那颗不断追问“如果...会怎样？”的好奇心。