Burp Suite의 기본 사용법: 웹 애플리케이션 취약점 평가 도구 소개

카테고리

프로그래밍/소프트웨어 개발

서브카테고리

개발 툴

대상자

웹 보안에 관심 있는 초보자 및 보안 테스터

난이도: 초보자 수준의 실무 적용 지침 제공

핵심 요약

• Burp Suite는 웹 애플리케이션 취약점 평가 도구로, Community Edition 2024.9.5 버전을 사용하여 설치 및 기본 사용법을 설명
• Intruder 기능을 활용해 요청 파라미터 조작 및 공격 시뮬레이션 수행
• fuzzdb와 OpenAPI Parser 같은 확장 기능으로 자동화된 공격 및 파라미터 생성 가능

섹션별 세부 요약

1. 설치 및 기본 화면

• Community Edition 다운로드: https://portswigger.net/burp/communitydownload
• Proxy 탭에서 Intercept on 설정으로 요청 중단 및 파라미터 조작 가능
• Start Burp 버튼 클릭 후 브라우저 열기 및 요청 인터셉트 테스트 수행

2. 기본 공격 방법

• 로그인 페이지에서 EmailAddress 및 Password 파라미터 수정 후 요청 전송
• Intruder 기능을 활용해 대량의 페이로드로 요청 조작 가능 (예: § 기호로 범위 지정)
• 공격 결과로 Payload 및 Response 데이터 시각화 제공

3. 외부 도구 연동 (fuzzdb)

• GitHub에서 fuzzdb 레포지토리 클론
• Intruder 탭에서 Runtime file 타입 선택 후 ./attack 폴더 파일 로드
• 자동화된 페이로드 입력으로 공격 수행 (예: SQL 인젝션 패턴 포함)

4. OpenAPI 기반 파라미터 생성

• BAppstore에서 OpenAPI Parser 확장 기능 설치
• OpenAPI 스펙 파일 로드 후 각 API 경로별 요청 생성 및 Intruder 화면 이동
• 자동화된 공격 테스트 수행 가능

결론

• 실제 웹 애플리케이션 공격은 절대 금지하며, 테스트 환경 또는 공식 제공 테스트 페이지 사용 권장 (예: https://portswigger.net/web-security/logic-flaws/examples/lab-logic-flaws-excessive-trust-in-client-side-controls)
• fuzzdb 및 OpenAPI Parser 같은 도구를 활용해 공격 효율성 극대화 가능