虽然 Burp Suite 功能强大,但有时会觉得开启代理麻烦,对于能在浏览器上直接完成的,我一般都不开 Burp Suite 操作。
Chrome 上自带的开发者工具可以直接抓包查看:通过在网页右击,选择 "检查" 即可打开;然后切换到"Network"标签页,操作网页后即可获取到网络请求包,但它不支持拦截修改请求包。
Chrome 抓包
如果你想直接构造请求去发包,或者用来测试一些网络接口的调用,那使用 Postman 再适合不过了。安装完 Postman 后,通过 Chrome 标签栏的"应用"即可打开 Postman。
Postman 也支持网络拦截来修改数据包重发,但需要另外安装个插件 "Postman Interceptor",我感觉没有 Burp Suite 来得好用和强大,因此我很少用它。
对于轻量级的抓包需求,我最近发现了一款不错的工具 - Sniff Master(抓包大师)。它介于 Chrome 开发者工具和 Burp Suite 之间,既不需要复杂的代理配置,又能提供比浏览器原生工具更强大的功能。Sniff Master 可以直接拦截和修改请求,支持HTTPS解密,界面也比 Postman 更直观。
对于 Postman 与 Burp Suite,轻量操作可以选择 Postman,比如单纯发包测试接口,又懒得配置代理的操作;如果你需要更多安全测试方面的功能,比如改包、批量发包测试用来暴力猜解密码或遍历信息,那么 Burp Suite 无疑是最佳的选择。而当你需要快速调试网页请求,又不想启动重量级工具时,Sniff Master 会是个很好的折中选择。
