Burpsuite
Web安全工具的瑞士军刀
统一的集成工具发现全部现代WEB安全漏洞
PoetSwigger公司开发
最好安装 oracle java
burp free  手动  没有主动扫描
burp Professional  有主动扫描
http://www.portawigger.net
所有的工具共享一个能处理并显示HTTP消息的可扩展框架 模块之间无缝交换信息
先安装oracle java
解压  有linux的启动脚本
先修改字体  无法显示中文（乱码）  options display message 
模块
proxy（最大的功能特点）
option
binding 可以让别人使用本机代理
request handling  把消息重定向到指定的服务器中（可以解决后面的问题）
SSL 把明文ssl加密
不可见的代理     invisible 代理  对不支持代理的客户端（仍然走http协议）进行代理 通过DNS欺骗 中间人劫持 把域名解析成burpsuite的ip  把请求发给本机代理窗口  本机再次访问真实ip 会有死循环 那么 进行对burpsuite解析  不用本地host
option 用hostname resolution 把域名解析成ip的地址  转发到真正ip
客户端发送的http请求的头 的标准与不标准 发到burpsuite来解析域名
invisible（主机头/多目标域名） 访问多个主机时 burpsuite创建多个lo网卡（系统命令创建） 在每一个lo网卡创建一个监听器 通过多个监听器来监听   然后对其多转发来重定向
截断流量与请求