Burp Suite 重放请求的正确方法详解

在进行 Web 渗透测试或安全验证时，重放请求（即重复发送某条请求）是一项高频操作。无论是测试认证绕过、越权访问，还是验证 SQL 注入、XSS 等漏洞，重放请求都是发现问题、验证结果的重要步骤。

Burp Suite 提供了一个专门的模块 —— Repeater，用于手动重放和修改 HTTP/HTTPS 请求。它功能强大、灵活可控，是每个安全测试人员的必学工具。

什么是 Burp Suite 的 Repeater 模块？

Repeater 是 Burp Suite 中的一个核心组件，作用是：

• 重复发送请求

• 修改请求参数、Header、Cookie 等内容

• 对比响应内容差异

• 手动调试、复现漏洞

与自动扫描或批量攻击工具不同，Repeater 适合进行精细控制的手动测试。

Burp Suite 重放请求的应用场景

1. 认证绕过测试：修改 Cookie、token、参数等内容，尝试跳过身份校验。

2. 越权测试：替换用户 ID、接口参数，验证是否有访问限制。

3. 漏洞复现：修改 payload，重新发送漏洞触发请求。

4. 请求调试：分析后端响应结构、接口行为差异。

5. 接口重构测试：测试重复提交订单、发起多次交易等业务逻辑。

Burp Suite 重放请求的正确方法（步骤详解）

Step 1：抓取原始请求

使用 Burp Suite 的 Proxy 模块配置浏览器代理，访问你要测试的页面或接口，Burp 会拦截请求。

在「HTTP history」中找到目标请求，右键选择：

Send to Repeater

Step 2：切换至 Repeater 模块

点击顶部菜单中的「Repeater」标签页。

你会看到：

• 左侧：请求报文，可以修改参数、路径、Header 等；

• 右侧：服务器响应内容（支持 Raw、JSON、HTML 等视图）。

Step 3：修改请求内容

常见可编辑内容包括：

• GET/POST参数

• URL路径

• 请求头部信息（如Cookie、User-Agent）

• 请求体（如 JSON、form-data）

根据测试目的，修改对应字段即可。

Step 4：点击「Send」发送请求

修改完成后，点击上方的「Send」按钮，Burp 会立即向目标网站发送请求，并在右侧显示响应内容。

你可以：

• 对比响应与原始请求的差异；

• 判断是否触发漏洞；

• 分析返回状态码和数据结构。

四、重放请求的实用技巧

常见问题及排查建议

Burp Repeater 与 Postman 的区别

虽然 Postman 也能发送 HTTP 请求，但 Burp Repeater 更适合安全测试场景：

在实战测试中，Burp 更偏渗透安全、Postman 更偏接口开发。

Burp Suite 重放请求是安全测试的基础能力

掌握 Repeater 模块，能让你在渗透测试中快速复现漏洞、精准验证风险、辅助自动化扫描。它不仅提升测试效率，也让测试结果更加真实、可控、易复查。

如果你正在学习 Web 安全，Burp Repeater 是你最应该熟练掌握的工具之一。