🔍 为什么你需要掌握repeater修改请求参数?
在渗透测试或API调试中,修改请求参数是定位问题的第一步——比如验证接口参数校验逻辑、测试越权访问漏洞,甚至调整价格参数(懂的都懂😉)。Burp Suite的Repeater模块就是专为此设计的“请求手术刀”,但很多新手卡在“怎么改”“改哪里”上。今天就用大白话+实操截图,带你搞定这个核心技能!
一、先搞懂:Repeater到底是个啥?
Repeater是Burp Suite里的一个手动操作模块(不像Scanner自动扫描),它的核心功能是:接收你抓取的原始请求(比如登录接口的POST数据),允许你随意修改参数后重新发送,观察服务端返回的差异。简单说就是——“抓包→改包→重放→看结果”的循环工具。
举个🌰:如果你抓到一个商品购买接口的请求,参数里写着“quantity=1”(购买1件),想测试购买100件会不会触发库存漏洞?直接在Repeater里把quantity改成100再重放,观察返回的订单金额或库存提示就行了!
二、实操5步走:手把手教你修改请求参数
步骤1:抓到目标请求(关键前置动作!)
打开Burp Suite,确保Proxy(代理)模块已开启(默认监听8080端口),然后用浏览器或APP走Burp的代理(手机需配置代理IP和端口)。当你访问目标网站并触发某个操作(比如提交表单、点击按钮),Burp会自动捕获对应的HTTP请求——在Proxy的「HTTP history」里找到你要测试的请求(比如一个POST类型的登录请求),右键点击它,选择「Send to Repeater」。
💡 小贴士:如果没抓到请求,检查浏览器代理设置是否指向Burp(通常是127.0.0.1:8080),或者确认目标流量是否经过Burp(比如HTTPS需安装CA证书)。
步骤2:进入Repeater界面,看清请求结构
发送到Repeater后,左侧会显示该请求的编号(比如1),点击它进入编辑页面。这里你会看到请求的完整信息:
– 请求方法(GET/POST/PUT等)
– 请求URL(接口地址)
– 请求头(Headers)(比如Content-Type、Cookie)
– 请求体(Body)(如果是POST/PUT,这里就是核心参数!比如username=admin&password=123456)
📌 重点观察:参数通常藏在「Body」里(尤其是POST请求),格式可能是表单(application/x-www-form-urlencoded)、JSON(application/json)或XML。
步骤3:直接修改参数(核心操作!)
在Body区域找到你想改的参数(比如password=123456),直接手动编辑——比如改成password=123456789测试长度限制,或者改成admin’– 测试SQL注入(安全测试场景)。如果是JSON格式的请求体(比如{“user”:”test”,”id”:1}),直接修改引号内的值(比如”id”:1改成”id”:999)。
⚠️ 注意:修改后不要误删关键参数(比如Content-Type),否则服务端可能无法解析请求。
步骤4:点击「Go」重放请求
改完参数后,点击工具栏的「Go」按钮(或按回车键),Burp会立即把修改后的请求发送到目标服务器,并在下方显示原始响应和当前响应的对比(包括状态码、返回内容、耗时等)。
步骤5:分析响应结果(验证修改效果)
重点看两点:
1. 状态码变化(比如原本返回200成功,改参数后变成403禁止访问,说明有权限校验);
2. 返回内容差异(比如修改价格参数后,订单总价没变,可能存在逻辑漏洞;或者返回“参数非法”,说明服务端做了校验)。
🌟 我的实战经验:测试越权漏洞时,我会把用户A的请求里的user_id=123改成user_id=456(其他用户的ID),如果返回了用户456的数据,那就说明接口存在未授权访问问题!
三、避坑指南:新手常踩的3个雷区
- 忘记保存修改:Repeater不会自动保存你的改动,每次切换请求前记得确认当前参数状态;
- 忽略请求头关联:比如修改了POST参数但没改Content-Length(虽然Burp通常会自动处理,但手动调整JSON/XML时要注意格式正确);
- 盲目重放敏感请求:比如修改支付金额后直接重放到生产环境(建议先用测试环境验证!)。
四、进阶技巧:让修改更高效
- 快捷键操作:Ctrl+R快速重放,Ctrl+Z撤销修改;
- 历史记录对比:在Repeater里点击「Previous」/「Next」可以查看之前重放的响应,方便对比参数修改前后的差异;
- 标记重点参数:右键参数名可以添加注释(比如“此处为价格参数”),方便后续复测。
🔥 我的观点:Repeater看似简单,却是安全测试和API调试的“万金油”——无论是找漏洞、验证逻辑,还是调试自己开发的接口,熟练掌握它都能让你效率翻倍。而修改请求参数作为最基础的操作,恰恰是理解服务端逻辑的入口,“会改参数”才能“懂接口”!
据我观察,80%的新手在使用Burp时卡在“不敢改参数”或“改完不知道看什么”,其实只要按今天这5步操作,配合对响应结果的敏感度,你也能快速上手!