burp target proxy 使用细节

0x01  Target Scope的作用：

• 限制站点地图和Proxy 历史中的显示结果
• 告诉Burp Proxy 拦截哪些请求
• Burp Spider抓取哪些内容
• Burp Scanner自动扫描哪些作用域的安全漏洞
• 在Burp Intruder和Burp Repeater 中指定URL

将需要抓包的域名放入include scope，有两种方法：
1. 在数据包或者某个连接，右键点击，然后 add to scope
2. 在数据包或者某个连接，右键点击，Copy Url --> Target -->Scope --> Paste URL

Proxy history：
          Filter: Showing all items
                    Show only in-scope items

exclude scope

0x02  Proxy Intercept
     
       改变GET或者POST请求方式、
       改变请求body的编码，
同时也可以改变请求消息的拦截设置，
       不再拦截此主机的消息、
       不再拦截此IP地址的消息、
       不再拦截此种文件类型的消息、
       不再拦截此目录的消息，
也可以指定针对此消息拦截它的服务器端返回消息。

intercept选项卡
     Action
            Don't intercept requests
                      To this host
                      To this IP address
                      To this file extension
                      To this directory

0x03  Project  & User Options  &  State （V1.7.11）

       在Burp Suite v1.7.11 后引入了项目文件的概念。
       保存Project Options 与 User Options 可以记下你习惯方式，下次直接使用即可。

         state文件，则是当时抓的数据包与代理历史情况的记录。

注意：证书的导入与导出与配置无关

我的使用习惯建议：

burp 无法抓取chrome 58的https包的临时解决方案：
      1. 在启动chrome的快捷方式加入选项 --ignore-certificate-errors

建议，抓包的时候，把截断打开：
     1. 如果截断的数据包不是你想要的域名，可以设置don't intercept
     2. 如果是你想要的域名，可以设置 add to scope
     3. 上面两步，都是为了history能够显示有效的内容，过滤无用的数据包
     4.  每一个测试项目，都可以用save project option保存配置，下次启动直接加载


这个问题的描述：
     
       0x1 官网论坛 Certs invalid on Chrome 58 due to CN Deprecation

       0x2 stackExchange论坛 Burp Suite - Although my configurations are correct, still Chrome doens't allows me to access HTTPS sites and throws an error!

参考链接：
针对非Webapp测试的Burp技巧（二）：扫描、重放
如何使用Burp Suite代理
Chrome (for Windows only) - HSTS Certificate Exception Instructions