文章目录

1 前言

在 BurpSuite 插件开发过程中,日志记录代码调试是保障插件稳定性、提升开发效率的核心环节。无论是追踪代码执行流程、排查异常问题,还是向用户反馈插件状态,合理的日志策略和熟练的调试技巧都至关重要。

本文基于 BurpSuite 的 Montoya API,详细介绍日志记录的两种核心方式(流日志与事件日志),并结合代码案例讲解插件代码的调试方法,帮助开发者快速定位问题、优化插件功能。

历史章节

【BurpSuite 新版本插件开发】基础篇1:环境搭建

【BurpSuite 新版本插件开发】基础篇2:插件生命周期与核心接口

【BurpSuite 新版本插件开发】基础篇3:请求拦截和修改简单示例

【BurpSuite 新版本插件开发】基础篇4:HTTP流量处理

【BurpSuite 新版本插件开发】基础篇5:UI组件开发

【BurpSuite 新版本插件开发】基础篇6:UI组件与数据传输

【BurpSuite 新版本插件开发】基础篇7:数据的持久化存储

【BurpSuite 新版本插件开发】基础篇8:多线程与异步处理(1)

【BurpSuite 新版本插件开发】基础篇9:多线程与异步处理(2)

结尾有实战篇预告~

2 官方接口

接口文档

接口类型

  • 流日志
    • 标准输出流
    • 标准错误流
  • 事件日志
    • 关键事件日志
    • 调试事件日志
    • 错误事件日志
    • 信息事件日志

3 输出流

产生日志时,插件页面下方的菜单会变红。
在这里插入图片描述

3.1 标准流

// 标准流打印字符串
montoyaApi.logging().logToOutput("输出流日志");

// 打印对象
montoyaApi.logging().logToOutput(new Object());

在这里插入图片描述

3.2 错误流

// 错误流打印字符串
montoyaApi.logging().logToError("错误流日志");

// 错误流打印堆栈跟踪
montoyaApi.logging().logToError(new Exception("错误流堆栈日志"));

在这里插入图片描述
插件程序本身产生错误时,也会输出错误流日志:

示例代码:

import burp.api.montoya.MontoyaApi;
import burp.api.montoya.ui.contextmenu.ContextMenuEvent;
import burp.api.montoya.ui.contextmenu.ContextMenuItemsProvider;

import javax.swing.*;
import java.awt.*;
import java.util.ArrayList;
import java.util.List;

public class Logger implements ContextMenuItemsProvider {

    private final MontoyaApi montoyaApi;

    public Logger(MontoyaApi montoyaApi) {
        this.montoyaApi = montoyaApi;
    }

    @Override
    public List<Component> provideMenuItems(ContextMenuEvent event) {
        List<Component> menuItems = new ArrayList<>();

        JMenuItem streamItem = new JMenuItem("输出流日志");
        streamItem.addActionListener(e -> {
            streamLog();
        });
        menuItems.add(streamItem);

        return menuItems;
    }

    private void streamLog() {
        // 系统自己产生的错误流
        simulateSystemError();
    }

    private void simulateSystemError() {
        try {
            // 模拟一个运行时异常
            int result = 10 / 0;
        } catch (Exception e) {
            montoyaApi.logging().logToError("模拟的系统错误: " + e.getMessage());
            montoyaApi.logging().logToError(e);
        }
    }
}

在这里插入图片描述

4 事件日志

montoyaApi.logging().raiseCriticalEvent("关键事件日志");
montoyaApi.logging().raiseDebugEvent("调试事件日志");
montoyaApi.logging().raiseInfoEvent("信息事件日志");
montoyaApi.logging().raiseErrorEvent("错误事件日志");

在插件底部的 Event log 面板中独立展示,是一个全局菜单。

在这里插入图片描述

5 日志总结

项目 流日志 事件日志
目的 输出调试信息 记录关键事件
日志内容 流式日志(变量、流程、状态) 事件驱动(操作、触发、状态变更)
是否结构化 是(有统一格式)
常见用途 开发调试、流程追踪 行为审计、插件生命周期记录
是否需要单独封装 否(封装意义不大) 推荐封装为独立方法,便于统一管理
是否常用于异常处理
是否需线程安全

实践建议

  • 流日志适用于快速调试和临时日志输出,适合开发者查看当前代码执行情况。
  • 事件日志适用于记录重要行为或状态变化,适合长期维护、审计或插件使用者理解插件行为。

6 插件调试

6.1 环境参数

当前演示版本:

  • BurpSuite Community Edition v2025.5.6
  • IDEA 2025.1.3 Community Edition
  • JDK 23.0.2
  • Gradle 8.14

6.2 调试步骤

编辑调试配置:
在这里插入图片描述
新建配置:选择创建 Remote JVM Debug
在这里插入图片描述
保存配置:配置好后,先不要启动 Debug,当前配置的端口还未启动服务。

在这里插入图片描述
启动脚本
根据你自己的本地配置,修改下面脚本中配置变量的参数值。

@echo off
setlocal

:: 配置变量
set "DEBUG_PORT=5005"
set "BURP_JAR=D:\DEV\BurpSuiteCommunity\burpsuite_community.jar"
set "JAVA_CMD=D:\DEV\Java\Java23.0.2\bin\java.exe"
set "JAVA_OPTS=-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=*:%DEBUG_PORT% -Dfile.encoding=utf-8"

:: 启动Burp Suite
echo Starting Burp Suite with remote debugging on port %DEBUG_PORT%...
start "burpsuite" /B "%JAVA_CMD%" %JAVA_OPTS% -jar "%BURP_JAR%" %*

:: 检查端口占用情况
echo Checking port %DEBUG_PORT% status...
timeout /t 2 /nobreak >nul

netstat -ano | findstr ":%DEBUG_PORT% " >nul
if %errorlevel% equ 0 (
    echo Port %DEBUG_PORT% is LISTENING - Debugger ready.
) else (
    echo WARNING: Port %DEBUG_PORT% is not being listened on. Debugging may not work.
)

pause

脚本运行后,以 jar 包的形式自动打开 BurpSuite 工具。

在这里插入图片描述

使用 Gradle 打包编译生成 Jar 包
在这里插入图片描述

在代码中添加断点:

在这里插入图片描述
启动之前添加的调试配置:

在这里插入图片描述
成功启动:

在这里插入图片描述
在启动的 BurpSuite 中添加插件:
在这里插入图片描述
在 BurpSuite 插件中进行操作,触发代码断点处的逻辑:页面自动跳转到代码断点处。

在这里插入图片描述

7 插件调试总结

Burp Suite 插件调试的核心在于建立 IDEA 与 Burp 进程的通信链路,通过断点追踪代码执行细节。总结关键步骤如下:

  1. 配置调试环境:在 IDEA 中创建 Remote JVM Debug 配置,指定调试端口(如 5005),确保与 Burp 启动脚本的端口一致。
  2. 启动带调试参数的 Burp:通过脚本以调试模式启动 Burp Suite,使 Burp 进程监听指定端口,等待 IDEA 连接。
  3. 部署插件并触发断点:在 Burp 中加载插件,通过操作插件功能(如点击菜单、发送请求)触发断点,此时 IDEA 会自动捕获执行流程。
  4. 调试操作:利用 IDEA 的单步执行、变量监视、调用栈查看等功能,分析代码逻辑是否符合预期,定位异常根源。

关于使用 Maven 打包和调试中遇到的一些坑,可以参考:
【BurpSuite 2025最新版插件开发】(附):IDEA + Maven 开发 BurpSuite 插件代码调试方法

后续实战篇

基础篇的内容到这里就正式告一段落啦!这次写 BurpSuite 插件开发教程,从构思框架到敲代码示例,每一步都想尽量讲得清楚些 —— 毕竟自己刚入门时踩过的坑,实在不想让大家再走一遍~

如果内容里有疏漏或者错误,真心欢迎大家随时指出,你们的每一个建议对我来说都特别珍贵,能帮我把内容打磨得更扎实~

接下来我打算分享点 “硬货”:之前在大厂工作时,我们部门安全团队自用的一款自研插件,从需求分析、功能设计到代码实现的完整流程,都会拆成企业实战篇慢慢讲~ 里面有不少实际工作中踩过的坑、优化过的细节,或许能给大家一些不一样的启发~

感谢大家一直以来的关注和耐心,在实战篇的代码中会添加大量注释,每章有实现的效果图,提供每章实现的完整代码,也可以直接查看提交记录以供大家理解:咱们实战篇见👊~
在这里插入图片描述

实战篇专栏入口:BurpSuite 插件开发实战篇

# 安全性测试 # 测试工具 # java # idea # 集成测试
Logo
MCP技术社区

欢迎加入 MCP 技术社区!与志同道合者携手前行,一同解锁 MCP 技术的无限可能!

更多推荐

ngx-image-cropper:Angular图像裁剪的终极解决方案

ngx-image-cropper是一款专为Angular框架设计的高效图像裁剪工具,它提供了直观的界面和丰富的功能,帮助开发者轻松实现图片裁剪功能。无论是头像上传、产品图片处理还是用户照片编辑,这款工具都能满足你的需求,让图像裁剪变得简单而高效。## 🌟 为什么选择ngx-image-cropper?在众多图像裁剪工具中,ngx-image-cropper脱颖而出的原因在于它专为Ang

avatar MCP技术社区
cover

AI Agent Context Window 不是记忆:上下文窗口、Memory 和 Token 的区别

avatar MCP技术社区
cover

Codex 也能调串口?我做了一个支持 Agent API 的 AI 通讯调试助手

avatar MCP技术社区