burp是web渗透中，最常用的工具了，如果我们能找到谁对我们的网站用了burp代理进行测试，那那个人就十有八九是攻击者了。

原理

用过burp的都知道，如果默认安装配置的话，挂上burp，访问

http://burp

会出现如下页面：

除了`http://burp`之外，还有：

http://127.0.0.1:8080/     #8080端口不是固定，是burp的代理端口
http://burpsuite/

也会出现如上界面。

注意观察上图，左上角有burp的图标，和其他大部分网站一样，访问

http://xxxx/favicon.ico

会得到网站的图标：

我们可以利用这一点来判断访问我们网站的用户，是否使用了burp代理，进而来确定是否是攻击者。

基础

简单写一个测试页面：

index.html

<html>
<head>
  <title>burp test</title>
  <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<body>
  <img src="http://burp/favicon.ico" onload="alert('Burp is being used')" >
</body>
</html>

然后，开启burp代理的用户访问这个页面，就会触发：

进阶

我们利用这个点可以做些什么呢：

将burp检测代码插入到网站的正常js文件中，检测到使用burp之后，记录攻击者ip，然后封禁ip，这样攻击者再次访问时就会被拦截；

检测代码放在正常网站的敏感位置，例如登录页面，检测到使用burp之后，记录攻击者ip，然后引导攻击者进入蜜罐或者引导攻击者下载exe；

这里写了个demo来简单演示一下：

然后会将攻击者ip记录到attacker.txt文件：

当然，你还有很多方法来完善它，这里仅是演示一下效果...

防护

那么怎么防止被发现呢？

最简单的方式就是在设置代理的时候，对如下三个主机名不使用代理：

另一种方式是在burp options中，如下两个选项下打勾