虽然 Burp Suite 功能强大,但有时会觉得开启代理麻烦,对于能在浏览器上直接完成的,我一般都不开 Burp Suite 操作。
Chrome 上自带的开发者工具可以直接抓包查看:通过在网页右击,选择 “检查” 即可打开;然后切换到“Network” 标签页,操作网页后即可获取到网络请求包,但它不支持拦截修改请求包。
Chrome 抓包
如果你想直接构造请求去发包,或者用来测试一些网络接口的调用,那使用 Postman 再适合不过了。安装完 Postman 后,通过 Chrome 标签栏的 “应用” 即可打开 Postman。
Chrome “应用” 标签
Postman 也支持网络拦截来修改数据包重发,但需要另外安装个插件 “Postman Interceptor”,我感觉没有 Burp Suite 来得好用和强大,因此我很少用它。关于 Postman 更多的使用方法,可以参考官方文档。
对于 Postman 与 Burp Suite,轻量操作可以选择 Postman,比如单纯发包测试接口,又懒得配置代理的操作;如果你需要更多安全测试方面的功能,比如改包、批量发包测试用来暴力猜解密码或遍历信息,那么 Burp Suite 无疑是最佳的选择。