在这个教程中，您将学习如何在burp代理中修改拦截的请求。这使您能够以网站意想不到的方式操纵这些请求，以观察其响应。 使用我们其中一个故意存在的漏洞网站，称为“labs”，您将看到这如何帮助您识别和利用真正的漏洞。

网络安全学院

要跟上步伐，您需要在portswigger.net上有一个账户。如果您还没有账户，注册是免费的，并且它会授予您对网络安全性学院的完全访问权限。

步骤 1：在 Burp 的浏览器中访问易受攻击的网站

在Burp中，转到代理 > 拦截选项卡，并确保拦截已关闭。

启动Burp的浏览器，并使用它访问以下URL：https://portswigger.net/web-security/logic-flaws/examples/lab-logic-flaws-excessive-trust-in-client-side-controls

页面加载时，点击 访问实验室。如果被提示，登录您的portswigger.net账户。几秒后，您将看到一个伪造的购物网站实例。

步骤 2：登录您的购物账户

在购物网站上，点击 我的账户 并使用以下凭证登录：

用户名：wiener

密码：peter

请注意，您目前只有100美元的商店信用额度。

步骤三：寻找要购买的东西

点击 首页 返回首页。选择查看产品详情的选项 轻便的“l33t”皮革夹克。

步骤 4：研究加入购物车功能

在Burp中，转到代理 > 拦截选项卡，并开启拦截。在浏览器中，将皮夹克加入购物车以拦截由此产生的 POST /cart请求。

注意

如果浏览器在后台执行其他操作，您可能会在代理 > 拦截标签页中看到多个请求。在这种情况下，请选择POST /cart请求。

研究拦截的请求，注意到请求体中有一个参数叫price，它与商品的价格以分为单位相匹配。

步骤 5: 修改请求

更改price参数的值为1，然后点击前进 > 全部前进，将修改后的请求以及任何其他拦截的请求发送到服务器。

再次切换拦截关闭，以便任何后续请求可以不受干扰地通过Burp代理。

步骤 6: 利用漏洞

在Burp的浏览器中，点击右上角的购物车图标查看您的购物车。请注意，夹克衫已经以一美分的价格添加。

注意

无法通过网页界面修改价格。您仅能通过Burp Proxy进行此更改。

点击下单按钮，以一个非常合理的价格购买这件夹克。

恭喜你，你刚刚也解决了你的第一个 Web Security Academy 实验！你还学习了如何使用 Burp Proxy 拦截、查看和操纵 HTTP 交通。