消息編輯器

整個Burp都使用消息編輯器來查看和編輯HTTP請求和響應以及WebSocket消息。JavaScript，JSON和CSS內容使用語法著色顯示，并在您鍵入時動態更新。除了顯示原始消息本身之外，該編輯器還包含大量功能，可幫助您進一步快速分析消息，驅動Burp的核心工作流程以及執行其他有用的任務。

郵件分析選項卡

編輯器使用各種選項卡來顯示和分析不同類型的消息。顯示的選項卡取決于當前顯示的消息的類型和內容。

Raw

此選項卡在文本編輯器中以原始格式顯示消息。文本編輯器包括各種有用的功能，包括語法分析，熱鍵和文本搜索。對于某些格式，還支持漂亮的打印。您甚至可以選擇顯示非打印字符。

參數

此選項卡僅適用于HTTP請求，并以表格形式顯示請求參數。如果消息是可編輯的，則可以直接在表中編輯每個參數的名稱和值，還可以更改參數類型。您還可以添加，移動和重新排序參數。

如果適用，參數名稱和值以URL解碼的形式顯示在表中，以便于查看。雙擊要編輯的項目時，它將以其原始形式顯示。如果在編輯過程中以字面形式輸入任何相關的元字符（例如，“＆”號或等號字符），則在完成編輯后，這些元字符將自動進行URL編碼。

您可以選擇一個單元格，然后使用Ctrl + C復制其值。如果選擇多行，則將復制所有選定的值以及制表符/換行符分隔符，使您可以輕松地將內容粘貼到其他軟件（例如電子表格）中。

標頭

此選項卡適用于第一行之后包含標題的所有HTTP消息。它以表格形式顯示標題名稱和值。如果消息是可編輯的，則可以直接在表中編輯每個標題的名稱和值。您還可以添加，移動和重新排列標題。

如果郵件的正文為非空，則將在其自己的文本編輯器中顯示在標題標簽的下半部分。

十六進制

此選項卡在十六進制編輯器中以原始格式顯示消息。您可以通過雙擊表中的值直接編輯各個字節。值必須以兩位十六進制形式給出，從00到FF。

此選項卡的上下文菜單還具有以下各項：

• 插入字節 -在所選字節之前插入一個新的字節。
• 插入字節 -在所選字節之前插入請求數量的新字節。
• 插入字符串 -將指定的字符串插入所選字節之前。
• 刪除字節 -刪除選定的字節。
• 刪除字節 -刪除從所選字節開始的請求的字節數。

HTML

此選項卡適用于消息正文中包含HTML內容的HTTP響應。該選項卡僅顯示HTML（無標題），并以美化的形式顯示該內容，并根據HTML標記層次結構對內容進行布局和縮進。此標簽的主要用途是使格式錯誤的HTML（如Raw標簽所示）更易于閱讀。

XML

此選項卡適用于消息正文中包含XML內容的HTTP響應。該選項卡僅顯示XML（無標題），并以美化的形式顯示該內容，并根據XML標簽層次結構對內容進行布局和縮進。此選項卡的主要用途是使格式不正確的XML（如Raw選項卡所示）更易于閱讀。

Render

此選項卡適用于包含HTML或圖像內容的HTTP響應。它嘗試以在瀏覽器中顯示時出現的形式呈現消息正文的內容。

ViewState

此選項卡適用于包含ASP.NET ViewState（作為請求中的參數或響應中的表單字段）的HTTP消息。ViewState的內容將解壓縮并以樹結構顯示（除非ViewState被加密）。原始數據本身顯示在樹下面的面板中（在ViewState v1.0的文本編輯器中，在v2.0的十六進制編輯器中）。

如果消息是可編輯的，則可以在下部面板中編輯原始數據以修改ViewState。（樹本身不可編輯。）完成原始數據的編輯后，如果在消息編輯器中選擇另一個選項卡，然后重新選擇ViewState選項卡，則樹將使用更新的內容重新繪制。請注意，如果ViewState已啟用MAC，則對其進行編輯不可能實現任何目的，因為服務器端平臺將拒絕修改后的數據。

上下文菜單命令

右鍵單擊消息編輯器會產生一個上下文菜單，根據消息類型，可以使用該菜單執行各種操作。這些在下面描述。

注意：上下文菜單還可能包含特定于編輯器所在工具的其他項（例如，在Repeater中)，上下文菜單具有用于將URL粘貼為請求并將當前項添加到站點地圖的選項。

掃描/發送至…

您可以將任何消息或消息的選定部分發送到其他Burp工具，以執行進一步的攻擊或分析。在工具之間發送請求的能力構成了Burp 用戶驅動的工作流程的核心。

在瀏覽器中顯示回復

您可以使用它在瀏覽器中呈現選定的響應，從而避免Burp內置的HTML呈現器的限制。選擇此選項時，Burp將為您提供一個唯一的URL，您可以將該URL粘貼到瀏覽器中（配置為使用Burp的當前實例作為其代理），以呈現響應。Burp將根據您選擇的確切響應來提供最終的瀏覽器請求（該請求不會轉發到原始Web服務器），但是瀏覽器會在原始請求的URL上下文中處理響應。因此，您瀏覽器將正確處理響應中的相對鏈接。因此，您的瀏覽器可能會在呈現響應的過程中提出其他請求（例如圖像，CSS等），這些請求將由Burp以常規方式處理。

在瀏覽器中請求

您可以使用它在瀏覽器中重新發出選定的請求（配置為使用Burp的當前實例作為其代理）。以下子選項可用：

• 在原始會話中 -這會導致Burp使用原始請求中顯示的確切Cookie標頭來發出請求。
• 在當前瀏覽器會話中 -這會使Burp使用瀏覽器提供的cookie發出請求。您可以使用此功能來簡化訪問控制的測試，方法是在Burp中選擇一個用戶上下文（例如，管理員）中生成的請求，然后在您現在登錄時所使用的其他用戶上下文中重新發出請求。用戶）。當您處理復雜的多階段流程時，這種方法（將Burp的一系列URL手動粘貼到瀏覽器中）通常比一遍又一遍地重復多階段流程以及使用代理。

參與工具

該子菜單包含用于執行與參與有關的任務的各種有用功能：

• 查找參考 -您可以使用“ 查找參考”功能在Burp的所有工具中搜索鏈接到當前顯示項目的HTTP響應。
• 發現內容 -您可以使用發現內容功能來發現內容和未與可瀏覽或抓取的可見內容鏈接的功能。
• 計劃任務 -您可以使用計劃任務功能創建將在定義的時間和間隔自動運行的任務。
• 生成CSRF PoC-您可以使用“生成CSRF PoC”功能來創建一些HTML，當在瀏覽器中查看該HTML時，它將導致發出當前請求。

變更要求方法

對于請求，您可以在GET和POST之間自動切換請求方法，并在請求中適當地重新放置所有相關的請求參數。此選項可用于快速測試應用程序對參數位置的容忍度，例如繞過輸入過濾器或微調跨站點腳本攻擊。

更改正文編碼

對于請求，可以在標準URL編碼和多部分之間切換任何郵件正文的編碼。

復制網址

此功能將完整的當前URL復制到剪貼板。

復制為curl命令

此功能將curl命令復制到剪貼板，該命令可用于生成當前請求。

復制到文件

此功能使您可以選擇一個文件并將當前消息的內容復制到該文件。這對于二進制內容很方便，當通過剪貼板進行復制時可能會引起問題。復制將對選定的文本進行操作，或者如果未選擇任何內容，則對整個消息進行操作。

從文件粘貼

此功能使您可以選擇一個文件并將該文件的內容粘貼到消息中。這對于二進制內容很方便，當通過剪貼板粘貼可能會引起問題。粘貼將替換選定的文本，或者，如果未選擇任何內容，則將其插入到光標位置。

保存物品

此功能使您可以指定一個文件，以XML格式保存所選的請求和響應，包括所有相關的元數據，例如響應長度，HTTP狀態代碼和MIME類型。

轉換選擇

這僅適用于“ 原始”選項卡。子菜單項使您能夠以多種方案對所選文本執行快速編碼或解碼。如果消息是可編輯的，則將轉換為所選文本。如果消息不可編輯，則轉換結果將顯示在對話框中。可以使用以下類型的轉換：

• URL-這些選項執行URL編碼或解碼。您可以選擇使用2字節Unicode編碼（例如，A的％u0041）僅對關鍵的HTTP元字符，所有字符或所有字符進行編碼。
• HTML-這些選項執行HTML編碼或解碼。您可以選擇僅對關鍵HTML元字符編碼，或者對所有字符編碼，或者對使用數字實體的所有字符編碼（例如＆＃65;對于A），或者對使用十六進制實體的所有字符編碼（例如＆＃x41;對于A）。
• Base64-這些選項執行Base64編碼或解碼。
• 構造字符串 -這些選項以各種解釋語言生成代碼，以動態構造所選的字符串。對于傳遞某些攻擊（例如SQL注入）很有用，在這種攻擊中，必須動態構建字符串以規避輸入過濾器。可用的選項是JavaScript，Microsoft，Oracle和MySQL平臺上的SQL。

輸入時進行網址編碼

這僅適用于“ 原始”選項卡。如果打開此選項，則鍵入時，＆和=之類的字符將自動替換為它們的URL編碼等效項。