Bambda这个东西，它本质上就是一种可以直接在Burp Suite界面里面跑的Java脚本，用来按照你自己的测试习惯，去扩展过滤、匹配、展示还有处理的逻辑，它比较适合用在像HTTP历史记录的筛选、WebSocket记录的筛选、自定义列，还有匹配替换规则这一类的场景里面。

在Web应用安全测试里面，经常会碰到这样的问题，就是BurpSuite扫描器的检查项，到底要怎么去选，还有扫描完了以后，那一堆结果，又要怎么去把重点给筛出来，我们不能以为，把扫描器打开，让它全扫一遍，这件事就算做完了，如果检查项选得太宽，扫描花的时间就会变得很长，出来的结果里面，也会混进去很多价值不高的信息；可要是选得太窄了呢，又很容易漏掉一些接口、参数，还有那些需要登录以后，才能看到的业务入口，根据PortSwigger的文档，Burp扫描器在审计阶段，是通过被动检查、主动检查，还有对JavaScript的分析，来找出问题的，而那些审计方面的设置，也可以帮助我们在覆盖的范围和扫描的速度之间，找到一个平衡。

在扫描、实时审计还有攻击测试的时候，资源池要怎么配置，以及它的并发数跑起来不太稳，碰到这种情况，主要得先分清楚当前跑的到底是扫描器、实时审计，还是攻击任务，Burp Suite里的资源池，作用是让好几个任务共享同一套网络资源配额，用它来控制同一时间发出去的请求数量，还有请求往外发的速度，如果没有手动去选一个资源池，扫描任务就会自己去用系统默认的那个，这个资源池主要是给扫描和实时审计这类任务用的，对于被动爬取那类任务，它并不适用。

在站点测试的时候，WebSocket消息要怎么去抓，还有明明操作已经发生了，可记录就是不显示出来，碰到这种情况，比较常见的排查顺序是，先去看一看代理这条链路，它到底有没有经过Burp，然后再去检查一下WebSocket的历史记录，是不是被什么东西给过滤掉了，按照Burp官方文档的说法，WebSocket的记录，是被放在【代理】这个标签下面的【WebSockets历史记录】里面去查看的，这个东西可以用来观察、拦截，还有修改浏览器和服务器之间，通过WebSocket发来发去的那些通信内容。

在站点测试的初期，有一个情况是挺常见的，就是浏览器只要一走Burp的代理去访问页面，Burp就会一刻不停地，把抓到的域名、目录、文件，还有带参数的请求，全给放进站点地图里面去，按照官方的文档说明，站点地图这个东西，就是用来展示Burp在探索目标应用的时候，所收集到的那些信息的，并且，它还支持在按地址去看的视图，和按爬虫路径去看的视图之间，来回切换。

在Burp Suite里做项目时，很多人会把项目文件和项目配置当成同一件事，结果前面明明已经导出了配置，后面换一台机器或者换一个项目时，却不知道该从哪里重新接进去。PortSwigger官方现在把这两层分得很清楚。项目文件用来保存当前项目的数据和项目级设置，配置文件则是JSON格式的设置集合，可以单独导入、导出和重复加载。也就是说，真正想复用的通常不是整个项目，而是配置本身，所以导入和复用时要先分清你拿在手里的到底是project file还是configuration file。

在Burp Suite里处理Proxy历史记录，最容易混掉的是两件事。一件事是把当前已经抓到的记录清掉，另一件事是以后别再继续堆很多。PortSwigger现在的官方文档明确说明，HTTP history主要负责展示经过Burp Proxy的浏览器流量，过滤器只影响显示，不会删除数据；而Proxy设置页则提供了“不要再把请求送进Proxy history”的控制项。也就是说，清理和限量不是同一个入口。

在Burp Suite里，宏本质上不是“录屏回放”，而是一组从Proxy历史记录里挑出来、按顺序执行的HTTP请求。PortSwigger官方文档写得很直接，宏通常用来处理登录、会话恢复和令牌更新这类需要重复走一遍的流程；而真正让宏在测试里自动生效的，不是宏本身，而是后面的Session handling rule。也就是说，先把宏录对，再把规则挂对，登录流程复用才会稳。

Burp Suite里的Comparer，本质上就是一个专门做可视化差异对比的小工具。PortSwigger官方文档写得很直接，它可以拿来比较任意两段数据，最常见的用法就是对比两条请求或两条响应，快速找出那些肉眼不容易一眼看出来的细微变化。真正用顺以后，它特别适合拿来比登录前后响应、不同参数下的请求差异，或者同一接口在不同权限下返回内容的变化。

在Burp Suite里用Decoder，看起来像是把一段编码内容丢进去再点一次解码就结束了，但实际使用里最常见的问题不是不会点，而是数据本身有多层编码、截断、压缩、混合格式，或者当前选择的解码方式根本和原始数据不匹配。PortSwigger官方现在把Decoder的定位说得很明确，它既支持手动解码，也支持自动识别并解码可识别的格式，比如URL编码；同时，Inspector也会在很多场景里自动解码选中的数据。所以真正高效的做法不是只守着一个窗口，而是先分清数据是不是“Burp能自动识别的格式”，再决定是用Decoder手动拆，还是借Inspector先看一轮。