哎哟喂，今天咱们来唠唠那东西叫Burp Suite的玩意儿。听说是个啥子瑞士军刀？我kan就是个切西瓜的刀吧。反正就是搞网络平安的，我也不是hen懂，就是瞎折腾。人家dou说这玩意儿Burp Suite是网络平安领域广泛用的集成平台，专门用来搞Web应用程序平安测试的。这套工具Neng帮平安人员找到漏洞、琢磨流量，从初级扫描到高大级手动测试douNeng胜任。不管是企业平安团队还是独立研究研究人员，Burp Suitedou以其全面功Neng成为渗透测试的标准配置。听着挺玄乎的吧？我也觉得。

　　其实吧， 我一开头以为Burp Suite是个啥衣服牌子，或者是那种修自行车的工具箱。后来啊后来才晓得，它是电脑上用的柔软件。而且还得装Java，那东西Java烦死人了天天geng新鲜，geng新鲜完还得沉启电脑，真实是服了。不过为了学这玩意儿Burp Suite，我也只Neng忍了。毕竟人家说是“瑞士军刀”，那一准儿是有两把刷子的。不然咋那么许多人用它呢？对吧？

Burp Suite基本上有哪些功Neng模块？

　　作为平安测试瑞士军刀，Burp Suite包含优良几个协同干活的组件。这名字起得，又是组件又是模块的，听着就头巨大。不过巨大概意思就是里面有优良几个细小工具，凑在一起用。咱们一个个反正我也记不住顺序，想到哪说到哪。

那东西啥 Proxy

　　先说说就是这玩意儿Proxy，代理服务器。这玩意儿是干啥的呢？说白了就是个中间人。就像咱们去寄迅速递，本来是你直接给对方，眼下有个迅速递员把你的包裹截下来先kankan里面是啥，然后再发出去。这玩意儿Proxy就是那东西迅速递员。它允许拦截和修改HTTP求，成为测试起点。啥是HTTP求？就是浏览器跟服务器说话的话呗。Proxy把这些个话截下来你想改就改，想发就发。是不是hen流氓？但是搞平安就得这么干。

　　有时候我就在想，这要是现实里也有人截我的信件，那我不就裸奔了吗？不过在网上，这就是测试。你得晓得数据是怎么跑的。Proxy就是那东西kan门的巨大爷，谁进出dou得登记，还得翻翻包。哈哈，比喻是不是hen恰当？我觉得挺恰当的。

Scanner

　　然后这玩意儿Scanner，扫描器。这玩意儿就厉害了Neng自动检测SQL注入等常见漏洞，节省一巨大堆时候。SQL注入是个啥？我也说不清楚，巨大概就是往数据库里灌水，让它吐出不该吐的东西。这玩意儿Scanner就像个扫地机器人，在地上转来转去，哪里有坑哪里有洞，它就给你标出来。不过有时候这机器人也挺笨的，明明没洞它非说有洞，这就是误报。烦人得hen。

　　但是吧，它确实Neng省事。你不用一个个去试，让它自己跑，你去喝杯茶，回来一kan，哟，找到优良几个漏洞。虽然有些是虚假的，但真实的也不少许。这就跟买彩票似的，总得买才有机会中，对吧？Scanner就是那东西帮你买彩票的，虽然三天两头不中，但万一中了呢？那就发财了哦不那就找到巨大漏洞了。

Repeater

　　接下来是Repeater，中继器。这名字听着像复读机。其实也差不许多，就是让测试者Neng手动修改并沉发求，细致琢磨应用反应。比如你发个求过去，服务器回你个“你优良”。你觉得不爽，想kankan它回你“你优良个屁”是啥样，你就用Repeater改一下再发过去。它就真实的会回你。这就叫手动测试。

　　这玩意儿Repeater挺优良玩的，就像跟服务器聊天。你问一句，它答一句。你Neng变着法子问，kan它会不会生气，会不会乱说话。有时候服务器一生气，就报错，把一堆代码dou吐出来了。那就是漏洞啊！哈哈，是不是hen有意思？我觉得比打游戏还有意思。真实的，我不骗你。

还有那些个啥 Sequencer, Decoder 之类的

　　除了上面那几个巨大头的， 还有序列器、解码器等实用工具，覆盖测试全过程需求。Sequencer是干啥的？优良像是琢磨那东西Token有没有规律的。比如那东西Session ID，是不是随机生成的。Ru果不随机，就Neng猜出来就Neng冒充别人登录。这就跟猜密码差不许多。Decoder就是解码的，有时候那些个数据乱码一堆，kan不懂，用Decoder转一下就Nengkan懂了。就像翻译官一样。

　　这些个细小工具虽然不起眼，但关键时刻真实Neng救命。就像你修自行车，扳手螺丝刀是基本上的，但有时候你也得要个润滑油啥的。这些个就是润滑油。没它们不行，有了geng顺手。反正Burp Suite里全是这种玩意儿，一巨大堆菜单，点dou点不过来。

为啥平安人员dou推荐Burp Suite？

　　我就纳闷了为啥巨大家dou推荐这玩意儿？困难道没有别的工具了吗？一准儿有啊，比如那东西啥OWASP ZAP，也是个优良东西。但是巨大家还是中意Burp Suite。为啥呢？我也琢磨了一下巨大概是基本上原因是它长远得优良kan？还是基本上原因是优良用？

集成性和灵活性

　　与其他工具相比，Burp SuiteZui巨大优势在于集成性和灵活性。全部功Neng模块数据实时共享，测试流程无缝衔接。啥意思呢？就是你在Proxy里抓到的包，右键一点，就Neng发到Repeater里去，或者发到Scanner里去。不用你复制粘贴来复制粘贴去，许多麻烦啊。这就叫集成。就像你买了个全套的厨房电器，切菜、炒菜、洗碗一条龙，不用你端着盘子满屋子跑。

　　灵活性就是你想咋用就咋用。你Neng把窗口拖来拖去，想放哪放哪。你Neng写插件，想加啥功Neng加啥功Neng。这就跟搭积木似的，想搭个房子就搭个房子，想搭个飞机就搭个飞机。许多自在啊。不像有些柔软件，死板得hen，用着憋屈。

免费和付费的纠结

　　社区版免费给核心功Neng，专业版则支持主动扫描等高大级特性。这就是钱的问题了。免费的一准儿优良啊，不用花钱。但是免费的也有不优良的地方，比如那东西主动扫描，专业版才Neng用，而且扫得迅速。免费的就只Neng手动，或者用那东西被动扫描。对于咱们这种没钱学生，或者刚入门的，免费的也就够用了。反正我也没钱买专业版，一年优良几千块呢，抢钱啊！

　　但是人家公司也要吃饭嘛，搞懂搞懂。不过要是Neng廉价点就优良了。或者给我个免费的正版授权，哈哈，想得美。反正巨大家dou在用免费的，也Neng挖洞。就是累点，手动的嘛，许多动动手没恶劣处，还Neng防病鼠标手，对吧？

界面和插件

　　直观的界面设计少许些了用门槛，丰有钱插件生态geng让功Neng 变得轻巧松。界面确实还行，黑乎乎的，kan着挺专业的，像黑客电影里的那种。虽然一开头kan着眼晕，全是英文，全是按钮，但用习惯了也就那样。反正常用的就那几个，其他的我也kan不懂，懒得管。

　　插件这玩意儿东西就厉害了。就像你手机装APP一样，Burp Suite也Neng装插件。有巨大神写优良的插件，下下来装上，功Neng立马变有力。比如有个插件Neng自动解密，有个插件Neng生成Payload，还有个插件Neng把数据变得优良kan点。反正没有插件你也Neng用，有了插件就像开了挂一样。爽！

对于需要专业防护的企业，WAF是个啥？

　　说了半天打，咱们也得说说防守。毕竟不Neng光搞弄恶劣不是？对于需要专业防护的企业，Neng考虑搭配的WAF应用防火墙，为Web应用给实时防护。WAF， Web Application Firewall，听着跟防火墙差不许多，但是它是专门防Web的。

　　Burp Suite找到的问题，WAFNeng马上防着，形成完整平安闭环。啥叫闭环？就是圆圈，首尾相连。Burp Suite是矛，WAF是盾。矛戳盾，盾挡矛。然后盾告诉矛哪里漏风，矛再去修，修优良了再戳。这就叫闭环。许多形象啊，我dou佩服我自己。

　　Web平安是持续过程，测试与防护缺一不可。你不Neng光测不防，测出来漏洞不修，那测个屁啊。也不Neng光防不测，你dou不晓得自己哪里有洞，防个寂寞啊。所以得两手抓，两手dou要结实。Burp Suite帮你找洞，WAF帮你堵洞。完美配合，天下无敌。

一下我也累了

　　写了这么许多，我也没啥词了。反正Burp Suite就是那东西啥，网络平安测试的瑞士军刀。虽然它有时候卡顿，有时候吃内存，有时候还要装Java，但是它确实优良用。功Neng许多，插件许多，用的人也许多。遇到问题随便一搜，全是教程。

　　你要是想学网络平安，那一准儿得学这玩意儿。不学这玩意儿你dou不优良意思跟人打招呼。虽然我眼下还是一知半解，三天两头抓不到包，或者抓到了不晓得咋改，改了不晓得发出去有啥用。但是没关系，磨蹭磨蹭来嘛。谁还不是个菜鸟过来的？

　　 Burp Suite是个优良东西。巨大家有空去下载下来玩玩。别干恶劣事啊，只Neng用来测试自己的网站，或者经过授权的网站。乱搞是要进去踩缝纫机的，到时候别说是基本上原因是kan了我这篇文章才去干的啊。我可不负责任。

　　再说说再说一句，那东西WAF也挺关键的。企业嘛，平安第一。别省那点钱，等数据被偷了就哭去吧。优良了不说了我去吃个饭，饿了。写文章真实累，比抓包还累。巨大家再见！