背景：

小白上手burp遇到的一些新手问题和解决方案总结

设备：window10系统笔记本
系统环境：VM虚拟机内的kali系统
软件工具：Firefox火狐浏览器、谷歌浏览器chrome、burpsuite

以下问题均为我本人在实际操作中所遇

问题描述以及解决方法

问题1：

已部署好docker和DVWA靶场，按照教程在火狐浏览器上配置好代理和安装好证书
，但是依然进不去，如下图所示：

但是当去掉https后的s变成http开头就可以顺利进去，如图：

我起初尝试了几次将https后的s删除，但是火狐浏览器会给http自动补全成https，这一点可以在浏览器设置内更改，不启用HTTPS-ONLY，操作如下图所示：

DVWA靶场用于安全练习，完全不需要HTTPS！

经过AI的搜索，总结到了这个原因，不加 “s” 的HTTP可以访问，而HTTPS（加 “s”）连接失败，通常是容器内部的HTTPS配置与外部代理之间的问题。但是现阶段好像还没影响，就不进行处理了（其实解决起来有点麻烦就没搞）。

问题2

在此环境下，burp抓浏览器打开的百度和别的网页都正常，但是抓localhost和127.0.0.1不行，我还在此反复检查代理和证书是否正确，端口是否被占用，但是都很正常。经过AI智能搜索后，发现Firefox火狐浏览器是默认把本地地址绕过代理（谷歌浏览器也是，我还用谷歌浏览器进行配置代理和证书安装，但是实际操作看来，谷歌浏览器是对新手不是很友好，配置代理不像火狐浏览器那么直观，需要一些命令行操作，相比之下火狐浏览器就简单的多，用鼠标点击图像界面和简单的键盘输入代理地址操作就能完成配置），Chrome 和Firefox一样均默认把本地地址绕过代理，

火狐解决方法更简单，简单介绍一下，
1、在 Firefox 地址栏输入about:config
2、回车 → 接受风险 → 搜索框输入
network.proxy.allow_hijacking_localhost
3、双击把值改为 true 。操作如下图所示：

然后很自然就能抓到了

问题3

这是一个比较蠢的问题，我的最初目的在 Kali 中利用 BurpSuite 的 Repeater 模块“改包”完成 DVWA-Low 登录绕过。但是我最初在抓DVWA起初登陆界面，而且真被我抓到了POST类型的包，在这个看到了user_token，然后又在网上看到入门的登陆界面没有user_token，然后我怀疑是我安装了错的DVWA，就重新配置和安装，结果还是这样，后来看到网上的教程才知道要登陆进去才能做练习，不是在门口🤣（可能真的能攻破，但是现阶段我做不到🤣）。

接下来就简单练习一下，进入 DVWA → DVWA Security → 选 Low → Submit。
再点 Vulnerabilities → Brute Force。在 Brute Force 页面随便输账号/密码 → 点 Login。
Burp 会抓到：
GET /dvwa/vulnerabilities/brute/?username=xxx&password=xxx&Login=Login HTTP/1.1
这时再 Send to Repeater，改 username 为admin’ or ‘1’=‘1’#或者别的，看到 “Welcome …” 成功。
算是最基础的练习了。

总结：

以上内容对资深人士可能显得非常基础，但对像我这样的新手来说，确实帮助很大。学习过程中最重要的就是保持耐心和坚持学习，只要掌握了方法，难题都会迎刃而解。

今天解决一些问题也大量用到了AI问答，同时我也被AI绕了一大圈，在使用AI工具搜索时我有个小建议：AI的回答虽然并不算是错，但往往不够精准。比如遇到问题时，它可能会引导你排查各种可能性，而实际可能只是某个简单设置的问题。建议大家在使用AI辅助时，也要保持独立思考。