BurpSuite里改了请求但服务器侧看起来没变化，通常不是编辑框没保存，而是你改的那一条并没有真正被转发出去，或者被拦截规则放行了没有停下来，又或者被自动规则二次改写覆盖。按下面顺序把流量是否经过、拦截总开关、拦截规则组合顺序、自动改写规则执行顺序逐个核对，问题一般能在十分钟内收敛到具体开关与具体规则上。

BurpSuite证书通常被安装到系统或浏览器的受信任根证书里，用于让浏览器在走代理时不报证书错误。卸载时如果只删了证书但没关代理，或者只关了代理但浏览器里还残留证书与缓存，就容易出现打不开网站、一直提示不安全、连不上代理这类现象。下面按先卸载证书，再恢复访问的顺序，把常见平台的操作路径写清楚。

做渗透测试或接口联调时，抓到的请求响应往往是后续复现、写报告、交接排查的唯一依据。BurpSuite里看得到流量不等于已经保存到可长期留存的介质里，你需要先分清是临时会话数据，还是落盘的工程文件，再按目的选择全量保存或按需导出。

由PortSwigger发布的Burp Suite默认会记录代理通道里的HTTP与WebSocket消息，页面资源一多就会出现历史列表刷屏、检索困难、内存占用上升的问题。处理思路可以分两层，第一层先把抓取范围收敛到你确实要测的目标，第二层再用过滤规则把显示与记录分开控制，做到既不漏关键请求，也不被静态资源淹没。

做Web测试时，如果站点或客户端默认走HTTP/2，你在BurpSuite里却看不到请求体、响应体，甚至HTTP history里没有任何条目，往往会让排查方向跑偏。处理这类问题要先确认流量是否真的进了代理链路，再把HTTP/2相关的入站与出站开关分别核对清楚，最后用协议显示位确认每条请求实际用的版本，避免“看起来像没数据”其实只是展示口径不同。

在授权范围内做Web测试时，真正麻烦的往往不是抓到一个Token，而是判断它到底“够不够难猜”。BurpSuite的Sequencer把这件事拆成可量化的统计结果与可定位的位置异常，帮助你从会话Cookie、CSRF令牌到重置链接参数，快速判断随机性质量与潜在可预测模式。读懂Sequencer结果的关键，是先看样本与总体，再落到每一位的异常原因，最后把结论回到业务语义上去验证。

很多人装BApp时卡住，并不是扩展本身坏了，而是Burp访问BApp Store的网络链路、证书信任链或运行环境没配齐，导致列表刷新失败、安装按钮灰掉、安装中一直转圈、装完立即报错。把问题拆成可检查的几条线，先把Burp能稳定连到PortSwigger站点，再把需要的语言运行时与日志出口补齐，通常就能在一次排查周期内收敛到明确原因。

在公司内网、受控网络或需要代理链路的环境里，BurpSuite常要把外发请求先转给上游代理，再由上游代理出网。如果上游代理规则没匹配、连通性不通、认证信息不完整，就会表现为浏览器一直转圈、工具报超时、或直接返回407。围绕“BurpSuite上游代理为什么会连不上，BurpSuite上游代理认证怎么填写”，按可验证的路径把规则、连通与认证三件事分别确认，基本都能定位到具体故障点。

在排查接口签名、复现偶发请求、验证边界条件时，你经常需要在不改代码的前提下，临时改一改请求头、Cookie、参数或响应内容。围绕“BurpSuite Match and Replace有什么用，BurpSuite Match and Replace规则怎么写”，把它理解成一套可控的流量改写器更准确：先按匹配条件抓住目标流量，再按替换动作把内容改成你想要的样子，并且可以对不同工具链的流量分别生效。

做授权范围内的Web测试时，很多人会遇到登录态跑着跑着就失效，或每次请求都要带动态令牌与CSRF字段，导致Repeater复测、Intruder压测、Scanner审计都被迫中断。BurpSuite的会话保持本质是把登录续期、Cookie与令牌更新、会话有效性检查放到后台自动完成，让后续请求始终带着可用的会话信息，减少手工补票与漏测风险。