Burp Suite 自动注入 HTTP Header 的插件

工具介绍AutoHeaders是Burp Suite 自动注入 HTTP Header 的插件X-Forwarded-For、X-Real-IP 等基于 Montoya API。工具功能10 个预设 Header— X-Forwarded-For、X-Real-IP、X-Forwarded-Proto、X-Forwarded-Host、Forwarded、CF-Connecting-IP、True-Client-IP、X-Client-IP、X-Requested-With、X-Api-Version自定义 Header— 通过 “Add Header” 添加任意 Header随机公网 IP— 每个请求使用不同的随机 IP默认自定义固定值— 设置一个固定的 Header 值单独控制— 每个 Header 独立勾选开关覆盖模式— 请求中已存在的同名 Header 会被覆盖不会重复验证功能— 一键发送测试请求到 httpbin.org确认 Header 已注入安装方式一直接下载从 Releases 下载AutoHeaders.jar在 Burp 中加载Extensions Installed Add方式二源码编译gitclone https://github.com/你的用户名/AutoHeaders.gitcdAutoHeaders mvn clean package加载target/AutoHeaders-*.jar即可。使用方法加载插件后Burp 顶部出现AutoHeaders标签页点击Random IP或Custom Value启用状态变为 ON按需勾选/取消各个 Header点Verify验证 Header 是否注入成功只要开关为 ON所有经过 Proxy 的请求都会自动注入选定的 Header无需其他操作注意事项CDN 会剥离常见 Header大多数 CDN如 Cloudflare、阿里云 CDN 等和 WAF 会在转发请求时主动删除X-Forwarded-For、X-Real-IP、X-Forwarded-Proto等常见 IP 伪造 Header以防止客户端篡改。插件注入的 Header 确实发送到了 CDN 节点但 CDN 不会将其转发到源站。如果发现某个 Header 在服务端未生效尝试使用 CDN 不会剥离的 Header如X-Api-Version、X-Client-IP、True-Client-IP等。可以通过Verify按钮测试哪些 Header 能穿透到目标。Proxy History 显示的是原始请求由于 Burp 的架构限制请求在进入 Proxy History 时就已经被记录此时插件的注入尚未发生因此 History 中看到的始终是未修改的原始请求。这不是插件问题。Repeater 发送方式差异右键菜单→Send to Repeater发送的是注入 Header 后的请求Repeater 中可以看到并使用这些 Header快捷键 CtrlR发送的是 History 中的原始请求未注入 Header因为快捷键走的是 History 记录的原始数据如果需要在 Repeater 中使用注入后的请求请通过右键菜单发送。工具下载https://github.com/1ighttack/Burp-AutoHeaders