1. 环境准备Burp Suite基础配置第一次接触Burp Suite的朋友可能会被它的专业界面吓到其实配置起来比想象中简单得多。我刚开始用的时候也走了不少弯路后来发现只要抓住几个关键点就能快速上手。首先确保你已经安装好Burp Suite社区版或专业版均可我这里以2023.12最新版为例演示。安装完成后首次启动会看到密密麻麻的功能标签别慌我们只需要关注左上角的Proxy模块。点击进入后你会看到两个关键区域Intercept和Options。建议先打开Options标签页这里有个Proxy Listeners区域默认会显示127.0.0.1:8080的监听配置。如果端口被占用比如你同时开了Charles可以点击Edit修改为8081等其他端口。有个细节容易被忽略在Bind to address选项里建议选择All interfaces而不是默认的loopback。我实测发现选loopback时微信小程序经常连接失败改成全接口监听后问题就解决了。配置完成后记得勾选Running复选框这时Burp Suite的代理服务就正式启动了。2. 系统代理与证书配置实战2.1 本地代理设置技巧现在需要让系统流量都经过Burp Suite。Windows用户按WinR输入inetcpl.cpl快速打开Internet属性比层层点击控制面板快多了。在连接标签页点击局域网设置勾选为LAN使用代理服务器地址填127.0.0.1端口与Burp监听端口一致。这里有个血泪教训千万别忘记勾选跳过本地地址的代理我有次测试时忘了勾选结果连本地数据库连接都走代理了导致开发环境全面瘫痪。如果用的是Chrome浏览器更推荐安装SwitchyOmega插件来管理代理可以随时切换不影响其他应用。2.2 HTTPS抓包的关键证书安装现在访问HTTPS网站会看到证书警告这是因为Burp Suite在中间人攻击时需要重新签发证书。解决方法是在浏览器访问http://burp新版本支持这个快捷地址下载CA Certificate证书。下载的der格式证书需要双击安装重点是要放入正确的证书存储安装时选择将所有的证书放入下列存储点击浏览选择受信任的根证书颁发机构完成前务必勾选显示物理存储区选择本地计算机我遇到过证书安装后依然报错的情况后来发现是微信内置浏览器有自己的证书体系。解决方法是在微信PC版设置-通用设置里下滑找到使用系统代理关闭后重新打开即可生效。3. 微信小程序抓包全流程3.1 小程序特殊处理技巧微信小程序抓包有几个特殊点需要注意。首先确保使用微信PC版Mac/Win均可手机版由于系统限制很难抓包。打开小程序后在Burp Suite的Proxy→HTTP history里会看到https://servicewechat.com开头的请求这些就是小程序的核心通信。实测发现最新版微信会检测代理环境可能导致小程序白屏。我的解决方案是先正常打开小程序在Burp Suite开启拦截快速点击小程序右上角重新进入小程序 这个时间差能让小程序在代理检测完成前加载成功。3.2 数据解析实战案例抓到的数据包可能看起来杂乱教你几个筛选技巧# 在Filter输入以下表达式精准筛选 servicewechat.com !image !css这样能排除图片/CSS等静态资源专注API请求。常见有用信息藏在Request Header中的x-webview-devtools字段POST请求体中的encryptData加密数据Cookie中的session关键标识遇到数据乱码时除了在User Options设置UTF-8编码外还可以右击请求选择Send to Repeater在Repeater模块的Response里切换不同编码查看。4. 网页数据抓取高阶技巧4.1 动态网页处理方案现代网页大量使用WebSocket和Fetch API传统抓包方法可能漏掉这些请求。在Burp Suite的Proxy→Options最下方找到WebSocket History和HTTP/2 History并勾选。对于Fetch请求需要在拦截规则中添加^https?://[^\s]\.(json|api)这个正则表达式能捕获常见的API请求。4.2 数据篡改与重放攻击演示Burp Suite最强大的功能之一是请求篡改。以电商网站为例拦截商品详情页请求右击选择Send to Repeater修改price参数值为0.01点击Send观察响应 通过这种方式可以测试后端校验机制是否完善。但切记仅限自己拥有权限的测试环境对生产环境操作可能涉及法律风险。5. 常见问题排查指南5.1 连接类问题解决如果遇到代理无法连接的情况按这个顺序检查确认Burp Suite的Proxy→Options里监听端口显示绿色运行状态检查系统防火墙是否放行了Java平台SE二进制Burp的运行依赖尝试关闭IPv6支持在Burp的User Options→Connections里重置WinINET代理设置管理员权限运行netsh winsock reset5.2 数据捕获异常处理当发现抓不到某些请求时可能是遇到了以下情况微信小程序使用了HTTP/3QUIC协议目前Burp暂不支持网页启用了HSTS强制HTTPS需要清除浏览器HSTS缓存应用使用了证书固定Certificate Pinning需要配合Frida等工具绕过对于移动端网页推荐使用Burp Suite的移动设备代理模式。在手机WiFi设置手动代理地址填电脑的内网IP端口仍是8080。别忘了在手机浏览器访问http://burp下载安装证书iOS需要在设置→通用→关于本机→证书信任设置中额外启用。6. 安全分析与数据挖掘抓包得到的原始数据需要进一步分析才有价值。在Burp Suite的Target→Site map中所有捕获的请求会自动归类成站点地图。右击某个域名选择Engagement tools→Find scripts可以快速定位所有JavaScript文件这对寻找前端加密逻辑特别有用。对于敏感信息检索我常用以下方法全站搜索API密钥[A-Za-z0-9]{32}查找手机号1[3-9]\d{9}定位JWT令牌eyJ[A-Za-z0-9_-]\.[A-Za-z0-9_-]\.[A-Za-z0-9_-]*这些正则表达式可以保存为Burp Suite的搜索模板下次直接调用。对于重要接口建议右击选择Save items导出为har文件方便后续用Postman等工具进一步测试。