做Web测试时，如果站点或客户端默认走HTTP/2，你在BurpSuite里却看不到请求体、响应体，甚至HTTP history里没有任何条目，往往会让排查方向跑偏。处理这类问题要先确认流量是否真的进了代理链路，再把HTTP/2相关的入站与出站开关分别核对清楚，最后用协议显示位确认每条请求实际用的版本，避免“看起来像没数据”其实只是展示口径不同。

在授权范围内做Web测试时，真正麻烦的往往不是抓到一个Token，而是判断它到底“够不够难猜”。BurpSuite的Sequencer把这件事拆成可量化的统计结果与可定位的位置异常，帮助你从会话Cookie、CSRF令牌到重置链接参数，快速判断随机性质量与潜在可预测模式。读懂Sequencer结果的关键，是先看样本与总体，再落到每一位的异常原因，最后把结论回到业务语义上去验证。

很多人装BApp时卡住，并不是扩展本身坏了，而是Burp访问BApp Store的网络链路、证书信任链或运行环境没配齐，导致列表刷新失败、安装按钮灰掉、安装中一直转圈、装完立即报错。把问题拆成可检查的几条线，先把Burp能稳定连到PortSwigger站点，再把需要的语言运行时与日志出口补齐，通常就能在一次排查周期内收敛到明确原因。

在公司内网、受控网络或需要代理链路的环境里，BurpSuite常要把外发请求先转给上游代理，再由上游代理出网。如果上游代理规则没匹配、连通性不通、认证信息不完整，就会表现为浏览器一直转圈、工具报超时、或直接返回407。围绕“BurpSuite上游代理为什么会连不上，BurpSuite上游代理认证怎么填写”，按可验证的路径把规则、连通与认证三件事分别确认，基本都能定位到具体故障点。

在排查接口签名、复现偶发请求、验证边界条件时，你经常需要在不改代码的前提下，临时改一改请求头、Cookie、参数或响应内容。围绕“BurpSuite Match and Replace有什么用，BurpSuite Match and Replace规则怎么写”，把它理解成一套可控的流量改写器更准确：先按匹配条件抓住目标流量，再按替换动作把内容改成你想要的样子，并且可以对不同工具链的流量分别生效。

做授权范围内的Web测试时，很多人会遇到登录态跑着跑着就失效，或每次请求都要带动态令牌与CSRF字段，导致Repeater复测、Intruder压测、Scanner审计都被迫中断。BurpSuite的会话保持本质是把登录续期、Cookie与令牌更新、会话有效性检查放到后台自动完成，让后续请求始终带着可用的会话信息，减少手工补票与漏测风险。

做移动端抓包时，核心就两件事：一是在BurpSuite里把代理监听开到局域网可访问，二是在手机上把网络代理指到这台电脑并把Burp的CA证书装进信任链。前者决定你能不能看到流量，后者决定你能不能解密HTTPS，否则常见现象就是HTTP有记录、HTTPS全红或直接打不开页面。

BurpSuite里一个项目文件往往承载了Proxy历史、站点地图、扫描与组织器数据等关键证据链，一旦出现“项目文件打不开”，轻则当天的抓包与记录需要重做，重则历史线索和复测依据丢失。处理这类问题要把思路拆成两步：先让文件“能被正常打开或被识别为可修复”，再把数据“尽可能完整地恢复到可继续使用的新文件”，同时补上备份与存储位置这道保险。

很多人把BurpSuite的CA证书导入后，浏览器仍弹出不安全提示，抓包也时断时续。根因通常不在证书本身，而在于证书导入位置不对、代理未生效、站点启用了更强的安全机制，或是目标应用并不信任用户安装的证书。下面按可复现的排查顺序，把提示来源拆开处理，做到每一步都有明确的验证点。

很多人遇到“代理明明开着但抓不到包”，并不是BurpSuite坏了，而是流量根本没有走到代理监听器，或走到了但被过滤、被HTTPS信任问题挡住。围绕“BurpSuite代理开了却抓不到包怎么办，BurpSuite浏览器代理怎么设置”，把链路按“监听器是否在听、浏览器是否在走、HTTPS是否能解密、历史记录是否被挡”四步拆开，基本都能定位到具体卡点。