在Burp中可配置匹配和替换规则，当我们使用浏览器请求程序时，这些规则会自动修改我们的请求和响应。

在某些环境下，我们可以修改 IP 地址，让服务器相信我们属于其本地网络，从而实现与原本无法访问的内部基础设施进行通信。下面将以IP欺骗为例进行操作讲解。

如图，admin目录仅本地用户可访问：

这说明程序使用X-Custom-IP-Authorization来验证客户端IP地址，故构造请求包即可：

X-Custom-Ip-Authorization: 127.0.0.1

那么如何在请求过程实现请求包有关参数的自动替换呢？

1、在 Burp Suite 中，转到代理>选项>匹配和替换框。

2、单击添加，将匹配字段留空。这可确保 Burp 向请求附加一个新标头，而不是替换现有标头。

3、在替换字段中，输入以下内容：

X-Custom-IP-Authorization: 127.0