Burp suite 라는 툴을 아시나요?
Burp Suite는 웹 애플리케이션 보안 테스트에 사용되는 종합적인 도구 세트입니다. 다양한 기능을 제공하여 웹 애플리케이션 취약점을 발견하고 보완할 수 있습니다. 주로 보안 전문가, 펜테스터 및 개발자들이 웹 애플리케이션의 보안 취약점을 검사하고 분석하는 데 사용합니다.
그럼 설치하는 방법부터 살펴볼까요?
다운로드 및 설치
Professional과 Enterprise Edition은 유료이기 때문에, Burp Suite Community Edition을 설치합니다.
아래 사이트에 들어가서 Products 메뉴를 선택하면 아래와 같은 화면이 나옵니다.
다운로드
이제 다운로드 받은 파일을 실행하면 아래와 같이 쭉쭉 다음을 넘기면 됩니다.
설치과정
실행화면
설치 후 실행화면을 볼 수 있습니다.
이제 다운로드가 완료되어 설치까지 끝났습니다.
이제 어떤 기능들이 있는지 구성요소부터 살펴보겠습니다.
주요 구성요소
Proxy(프록시)
Burp Proxy는 웹 애플리케이션과 클라이언트 사이에서 트래픽을 중개하는 도구입니다. 이를 통해 요청 및 응답을 캡처하고 수정할 수 있습니다. 프록시를 사용하여 애플리케이션과 상호작용하면서 보안 취약점을 발견하고 테스트할 수 있습니다.
Target(타겟)
대상 도구를 사용하여 현재 작업의 범위에 포함되는 대상을 정의할 수 있습니다. 또한 대상 응용 프로그램에 대한 자세한 정보를 보여주는 사이트 맵도 포함되어 있습니다. 대상 응용프로그램의 내용 및 기능에 대한 정보를 사용하여 침투 테스트를 위한 워크플로우를 수행할 수 있습니다.
Intruder(인트루더)
Burp Intruder는 사용자 지정 요청을 자동화하여 웹 애플리케이션에 대해 대규모 공격을 시뮬레이션하는 도구입니다. 다양한 입력 조합을 사용하여 파라미터 기반 공격을 수행하고 취약점을 찾을 수 있습니다.
Repeater(리피터)
Burp Repeater는 특정 요청을 수정하고 반복하여 애플리케이션의 응답을 확인하는 도구입니다. 요청을 수동으로 조작하거나 원하는 대로 변경하여 특정 기능이나 취약점을 확인할 수 있습니다. HTTP와 HTTPS, HTTP2까지 Request를 만들어 보낼 수 있습니다.
Collaborator(협업 도구)
Burp Collaborator는 웹 애플리케이션과 상호작용하는 동안 생성되는 네트워크 활동을 모니터링하는 도구입니다. 이를 통해 애플리케이션의 보안 취약점과 관련된 네트워크 활동을 추적하고 분석할 수 있습니다. 이 기능은 Professional only이기 때문에 유료만 가능합니다.
Sequencer(시퀀서)
Burp Sequencer는 웹 애플리케이션에서 사용되는 난수 및 세션 토큰과 같은 데이터의 예측 가능성을 평가하는 도구입니다. 이를 통해 예측 가능한 데이터를 사용하여 발생할 수 있는 보안 취약점을 확인할 수 있습니다.
Decoder(디코더)
Burp Decoder는 인코딩된 데이터를 디코딩하고 해독하는 도구입니다. Decode, Encode, Hash까지 쉽게 할 수 있습니다.
Comparer(비교 도구)
Burp Comparer는 두 개의 요청 또는 응답을 비교하여 변경 사항을 식별하는 도구입니다. 이를 통해 애플리케이션의 다른 상태 또는 다른 요청 간에 발생하는 보안 문제를 파악할 수 있습니다.
Extender(확장 도구)
Burp Extender는 사용자 정의 기능을 추가하고 확장할 수 있는 도구입니다. 자바로 작성된 플러그인을 개발하여 Burp Suite에 추가 기능을 통합할 수 있습니다. 이를 통해 사용자의 특정 요구사항에 맞게 Burp Suite를 확장할 수 있습니다.
'다양한 TIP' 카테고리의 다른 글
| Wireshark 설치방법 및 다양한 기능종류 (0) | 2023.07.02 |
|---|---|
| CMakeLists.txt libxxx.a 저장위치 설정하기 (0) | 2023.06.28 |
| http3 새로운 성능과 보안을 위한 웹 통신 프로토콜(http2와 달라진 점) (0) | 2023.06.27 |
댓글