Burp Suite 重放攻击与 Repeater 模块实战教程

在渗透测试或Web漏洞分析过程中，仅仅抓包还不够。你还需要对请求进行修改和重发，以验证业务逻辑漏洞、注入点或认证绕过等。这时，Burp Suite 的 Repeater 模块 就派上了用场。

一、什么是 Burp Suite 的 Repeater 模块？

Repeater 是 Burp Suite 中的一个核心模块，允许用户将任意 HTTP/HTTPS 请求进行手动修改并重复发送，常用于：

• 验证是否存在漏洞（如 SQL 注入、XSS、认证绕过）；

• 调整参数值观察后端行为变化；

• 多轮尝试不同 Payload 分析响应差异；

• 配合 Intruder 做深度测试前的预判断。

Repeater 模块是 Burp Suite 所有版本都具备的基础功能。

二、Repeater 的应用场景举例

三、如何使用 Repeater 模块进行重放测试？

Step 1：抓取请求

• 使用 Proxy 抓取你要测试的接口请求；

• 在 Proxy 的「HTTP history」中选中请求；

• 右键 → 选择「Send to Repeater」。

Step 2：切换到 Repeater 页面

• 点击顶部菜单「Repeater」；

• 你会看到刚才发送过来的请求出现在左侧编辑框中；

• 可以随意修改请求的 URL、参数、头部、正文等。

Step 3：点击「Send」按钮发送请求

• 观察右侧返回结果；

• 支持查看响应原文、HTML、JSON、Headers等格式；

• 修改参数后可多次点击发送，观察不同响应对比。

四、实战演示：使用 Repeater 测试认证绕过

假设你在测试某登录接口：

第一步：发送到 Repeater

在抓包页面右键该请求 → Send to Repeater。

第二步：修改参数

尝试修改为：

或尝试删除密码字段：

第三步：观察响应内容

如果返回状态码仍为 200 或提示“登录成功”，则可能存在 SQL 注入或认证绕过漏洞。

五、Repeater 使用技巧与建议

六、常见问题及解决方案

七、Repeater 是漏洞验证利器

Burp Suite 的 Repeater 模块，是每个安全测试人员必学的功能。相比全自动化工具，Repeater 更适合精细调试、漏洞复现与参数测试。配合 Proxy 抓包和 Scanner 漏洞扫描，它可以组成完整的手动+自动测试体系。