1. burp suite的下載可以在官網上下載，https://portswigger.net/burp/，除了這個社群版還有專業版，不過需要付費

但是會給你一個月的試用期。安裝burp會用到jdk，所以必須先配置好jdk , 下載安裝自行百度。

2. 對於初學者如果想用專業版可以在網上找破解版本, 或者購買正版，社群版和專業版之間的主要區別如下:

1) Burp Scanner
2) 工作空間的儲存和恢復
3) 拓展工具，如Target Analyzer, Content Discovery和 Task Scheduler

3.配置 Burp suite 代理 ，開啟burp 選擇 proxy----->options

3. 瀏覽器進行配置 , 這裡以谷歌瀏覽器為例 ,其他瀏覽器類似，可自行百度。設定----->高階 ----->開啟代理，如下圖:

4. 配置完成後就可以使用burp suite進行抓包了，但是抓包過程中可能出現如下問題 , https無法抓取，以前點選高階，點選繼續訪問可以進行，但是現在貌似不可以了 ，解決辦法就是安裝burp的受信任證書。

5. 安裝SSL受信任證書，開啟瀏覽器訪問 http://burp ，點選CA   Certificate  下載 證書進行安裝

點選下一步直到完成 ,最後會彈出一個警告對話方塊，選擇是即可。如下圖是安裝後的抓包效果

6. burp suite 抓包 篡改資料  代開百度輸入一個 "lixiaolong" , 然後開啟burp  intercepter on 表示開啟攔截，

找到對應的搜尋請求  如下圖

點選 將選項卡切換到Params，點選Forward放行 ，forward表示放行該攔截請求 , Drop表示丟棄本次請求，直到找到你要篡改的引數。在這裡將lixiaolong修改為 zhoujielun，由於百度開啟了實時搜尋功能，修改引數需要主要 , 出現完整lixiaolong的地方都進行修改，否則可能出現篡改不成功，   點Forward放行之後的搜尋結果為下圖所示

7 . 使用burp的 send repeater 也可以完成篡改 , 這裡以csdn賬號忘記密碼業務模組進行篡改 , 看其是否存在漏洞，

在csdn登入頁面點選忘記密碼 ，出現如圖:

點選獲取驗證碼後，用burp進行攔截請求 找到請求引數進行篡改  ,篡改後將請求重新發送

點選Action----->Send to Repeater ------->切換到reqpeater選項面板------->點選go傳送篡改的請求---->得到響應

如圖所示返回結果是 "使用者手機不存在"，說明此處不存在越權修改他人賬戶密碼