이 랩에서는 Burp Suite 에서 대상 범위를 정의하는 필수 기술을 배우게 됩니다. Burp Suite 는 웹 애플리케이션 보안 테스트에 사용되는 강력한 프록시 도구입니다. 범위 정의는 모든 참여에서 중요한 첫 번째 단계입니다. 이는 Burp Suite 에 어떤 대상이 테스트에 포함되는지 지시하기 때문입니다. 이를 통해 주의를 집중하고, 관련 없는 트래픽을 필터링하며, 가장 중요하게는 승인된 참여에 포함되지 않은 시스템을 실수로 테스트하는 것을 방지할 수 있습니다.
이 랩이 끝나면 대상 애플리케이션을 범위에 추가하고 범위 필터를 사용하여 관련 트래픽만 볼 수 있게 됩니다.
이 단계에서는 Burp Suite 와 내장 브라우저를 실행합니다. 그런 다음 대상 웹사이트로 이동하여 트래픽을 생성합니다. 이 트래픽은 Burp 의 프록시에 의해 가로채지며, 이는 대상 애플리케이션의 구조 맵을 자동으로 구축합니다.
먼저 Burp Suite 를 실행해 보겠습니다.
Burp Suite 가 로드되면 트래픽이 올바르게 프록시되도록 미리 구성된 브라우저를 열어야 합니다.
https://ginandjuice.shop사이트를 탐색하는 동안 Burp Suite 는 백그라운드에서 모든 요청과 응답을 조용히 기록합니다. 이제 브라우저 창을 닫을 수 있습니다.
이 단계에서는 Burp Suite 의 Site map으로 이동하여 방금 방문한 호스트를 찾습니다. Site map은 Burp 가 발견한 모든 콘텐츠의 계층적 보기를 제공합니다.
https://ginandjuice.shop 항목을 찾아 확장합니다.https://ginandjuice.shop의 최상위 항목을 마우스 오른쪽 버튼으로 클릭합니다. 그러면 이 대상과 상호 작용하기 위한 다양한 옵션이 포함된 상황별 메뉴가 열립니다.이 컨텍스트 메뉴는 Burp Suite 사용의 핵심입니다. 강력한 모든 도구에 대한 빠른 액세스를 제공하기 때문입니다.
이 단계에서는 컨텍스트 메뉴를 사용하여 대상 호스트를 공식적으로 "범위 내 (in-scope)"로 정의합니다.
"Yes"를 클릭하면 Burp 에게 다른 웹사이트의 불필요한 정보를 자동으로 필터링하도록 지시하는 것입니다. 이는 프로젝트를 깔끔하게 유지하고 대상 애플리케이션에만 집중할 수 있도록 하는 매우 권장되는 방법입니다. 이제 ginandjuice.shop 호스트는 테스트 범위의 일부로 간주됩니다.
이 단계에서는 Scope 설정 탭을 확인하여 범위가 올바르게 구성되었는지 검증합니다.
Host or IP range: ginandjuice.shop
Protocol: Any
Port: 443
File: .*이 규칙은 포트 443(HTTPS) 을 통해 ginandjuice.shop 호스트로 가는 모든 요청이 범위 내로 간주된다는 것을 Burp 에 알려줍니다. File 필드는 정규 표현식 (.*) 을 사용하여 서버의 모든 경로와 일치시킵니다. 여기에 더 복잡한 규칙을 추가할 수 있지만, 이 간단한 호스트 기반 규칙이 가장 일반적인 시작점입니다.
이 단계에서는 Proxy history 로그를 필터링하여 범위를 정의한 실질적인 이점을 확인합니다. history 로그에는 Burp 의 프록시를 통과한 모든 HTTP 요청이 포함되어 있어 매우 시끄러울 수 있습니다.
이제 HTTP history 테이블이 업데이트되며 https://ginandjuice.shop으로 보낸 요청만 표시됩니다. 다른 모든 트래픽은 보이지 않게 숨겨져 테스트와 관련된 요청을 훨씬 쉽게 분석할 수 있습니다.
이 랩을 완료하신 것을 축하드립니다!
Burp Suite 에서 가장 기본적이고 중요한 구성 단계 중 하나인 대상 범위 정의 방법을 배웠습니다. Burp 를 성공적으로 실행하고, 대상 애플리케이션을 탐색하여 사이트 맵을 채우고, 대상을 범위에 추가했으며, 범위 필터를 사용하여 프록시 기록에서 관련 없는 트래픽을 숨겼습니다.
이 기술은 집중력을 유지하고, 테스트 워크플로우를 구성하며, 침투 테스트의 승인된 경계 내에서 안전하고 전문적으로 운영하도록 보장하는 데 필수적입니다.