Burp Suite 抓包教程：从代理配置到 HTTPS 拦截的完整指南

Burp Suite 是网络安全领域中广泛使用的一款 Web 渗透测试工具，其核心功能之一就是抓包（Intercept HTTP/HTTPS）。无论是进行漏洞挖掘、接口调试还是黑盒测试，正确配置 Burp Suite 抓包功能都是关键第一步。

一、为什么使用 Burp Suite 抓包？

在 Web 安全测试中，观察请求和响应的数据包至关重要。通过 Burp Suite，你可以：

• 拦截并修改客户端请求；

• 分析服务器返回的数据；

• 重放请求以测试业务逻辑；

• 自动或手动扫描漏洞。

要做到这一切，配置正确的抓包环境是第一步。

二、基础环境准备

确保你已具备以下条件：

三、启动 Burp Suite 并配置代理监听

打开 Burp Suite，按如下步骤操作：

1. 点击顶部的「Proxy」选项卡；

2. 切换到「Options」子标签；

3. 查看代理监听地址是否为：

   

   这是 Burp 默认监听本地流量的端口，通常无需修改。

如果你有其他端口冲突，也可以手动更改监听端口。

四、配置浏览器代理为 Burp Suite 监听地址

方法一：使用 SwitchyOmega 插件（推荐）

1. 在 Chrome 中安装 SwitchyOmega 插件；

2. 创建新情景模式，命名为“Burp代理”；

3. 设置代理服务器：

4. 启用该情景模式，Burp 即可接收浏览器请求。

方法二：系统代理设置（适合全局抓包）

可在 Windows 网络设置中手动配置代理为 127.0.0.1:8080，但影响全局网络连接，建议仅在必要时使用。

五、安装 Burp Suite CA 根证书（抓 HTTPS 必须）

默认情况下，浏览器不会信任 Burp 的中间人证书，因此抓 HTTPS 会报错或拦截失败。需要手动安装 Burp 的 CA 根证书。

步骤如下：

1. 打开已设置好代理的浏览器；

2. 访问：http://burp；

3. 下载「CA Certificate」文件（通常是 cacert.der）；

4. 重命名为 cacert.cer（方便导入）；

5. 打开 Windows 的证书管理器：

   • Win + R → 输入 certmgr.msc → 回车；

6. 导入证书到：

   受信任的根证书颁发机构 → 证书 → 右键 → 所有任务 → 导入

导入成功后，重启浏览器，即可正常访问 HTTPS 网站并在 Burp 中拦截流量。

六、开始抓包测试

现在，你已经完成了 Burp 的代理与证书配置，可以开始抓包了！

流程验证：

1. 保证「Proxy → Intercept」功能为开启（Intercept is on）；

2. 打开浏览器访问任意网站，如 https://example.com；

3. 在 Burp 中可看到该请求被拦截；

4. 点击「Forward」放行请求，或修改后再发送；

5. 在「HTTP history」中可以查看所有请求和响应详情。

七、常见问题及解决方法

通过本教程，你已经成功完成了从 Burp Suite 代理配置到 HTTPS 流量拦截的全流程设置。作为渗透测试和接口分析的入门必备技能，掌握抓包功能将为你后续使用 Repeater、Intruder、Scanner 等模块打下坚实基础。