企业官网建设流程全解析

工具介绍

AutoHeaders是Burp Suite 自动注入 HTTP Header 的插件（X-Forwarded-For、X-Real-IP 等），基于 Montoya API。

工具功能

• 10 个预设 Header— X-Forwarded-For、X-Real-IP、X-Forwarded-Proto、X-Forwarded-Host、Forwarded、CF-Connecting-IP、True-Client-IP、X-Client-IP、X-Requested-With、X-Api-Version
• 自定义 Header— 通过 “Add Header” 添加任意 Header
• 随机公网 IP— 每个请求使用不同的随机 IP（默认）
• 自定义固定值— 设置一个固定的 Header 值
• 单独控制— 每个 Header 独立勾选开关
• 覆盖模式— 请求中已存在的同名 Header 会被覆盖，不会重复
• 验证功能— 一键发送测试请求到 httpbin.org，确认 Header 已注入

安装

方式一：直接下载

从 Releases 下载AutoHeaders.jar，在 Burp 中加载：Extensions > Installed > Add

方式二：源码编译

gitclone https://github.com/你的用户名/AutoHeaders.gitcdAutoHeaders mvn clean package

加载target/AutoHeaders-*.jar即可。

使用方法

1. 加载插件后，Burp 顶部出现AutoHeaders标签页
2. 点击Random IP或Custom Value启用（状态变为 ON）
3. 按需勾选/取消各个 Header
4. 点Verify验证 Header 是否注入成功
5. 只要开关为 ON，所有经过 Proxy 的请求都会自动注入选定的 Header，无需其他操作

注意事项

CDN 会剥离常见 Header

大多数 CDN（如 Cloudflare、阿里云 CDN 等）和 WAF 会在转发请求时主动删除X-Forwarded-For、X-Real-IP、X-Forwarded-Proto等常见 IP 伪造 Header，以防止客户端篡改。插件注入的 Header 确实发送到了 CDN 节点，但 CDN 不会将其转发到源站。如果发现某个 Header 在服务端未生效，尝试使用 CDN 不会剥离的 Header，如X-Api-Version、X-Client-IP、True-Client-IP等。可以通过Verify按钮测试哪些 Header 能穿透到目标。

Proxy History 显示的是原始请求

由于 Burp 的架构限制，请求在进入 Proxy History 时就已经被记录，此时插件的注入尚未发生，因此 History 中看到的始终是未修改的原始请求。这不是插件问题。

Repeater 发送方式差异

• 右键菜单→Send to Repeater：发送的是注入 Header 后的请求，Repeater 中可以看到并使用这些 Header
• 快捷键 Ctrl+R：发送的是 History 中的原始请求（未注入 Header），因为快捷键走的是 History 记录的原始数据

如果需要在 Repeater 中使用注入后的请求，请通过右键菜单发送。

工具下载

https://github.com/1ighttack/Burp-AutoHeaders