Burpsuite設(shè)置HTTP/HTTPS代理并抓包
設(shè)置完代理凌彬,你可以作為一個(gè)觀察者查看所有經(jīng)過Burpsuite代理的Http報(bào)文把介,但是往往實(shí)際的場景中你還需要攔截報(bào)文進(jìn)行修改。
1.攔截修改request
首先進(jìn)入Proxy-Options-Intercept Client Requests設(shè)置request攔截的規(guī)則:
如果不勾選Intercept requests based on the following rules厢漩,無法攔截到任何http request:
可以添加多條規(guī)則熬苍,規(guī)則之間可以是與/或的關(guān)系,添加并勾選規(guī)則后,只有滿足這些規(guī)則組合的http request才會(huì)被攔截
攔截成功后如下柴底,你可以在Intercept選項(xiàng)卡頁直接編輯請(qǐng)求的參數(shù)/headers等等然后再轉(zhuǎn)發(fā)(Forward)報(bào)文:
2.攔截并修改response
如果需要攔截response并修改response中的返回值怎么做婿脸?
第一步仍然是進(jìn)入Proxy-Options-Intercept Server Response設(shè)置response攔截的選項(xiàng):
這里我添加了一條rule:當(dāng)request被攔截的時(shí)候,也攔截response
然后效果如下柄驻,你可以修改request/response中的值并Forward
實(shí)例:
頁面判斷用戶第一次進(jìn)入頁面后會(huì)彈窗狐树,這里客戶端是根據(jù)接口中hasShowedTaoJob值來進(jìn)行判斷
實(shí)際功能測試過程中,每次都需要去修改服務(wù)端中數(shù)據(jù)庫的值太麻煩鸿脓,測試接口返回值沒有問題后抑钟,可以通過修改response中的數(shù)據(jù)來實(shí)現(xiàn)彈窗的效果:
