Burp Suite 는 웹 애플리케이션의 보안 테스트를 수행하기 위한 강력하고 인기 있는 플랫폼입니다. 이 플랫폼은 애플리케이션의 공격 표면 (attack surface) 초기 매핑 및 분석부터 보안 취약점 발견 및 악용에 이르기까지 전체 테스트 프로세스를 지원하기 위해 함께 작동하는 통합 도구 세트로 구성됩니다.
보안 테스트를 위해 Burp Suite 를 효과적으로 사용하기 전에 먼저 사용자 인터페이스 (UI) 에 익숙해져야 합니다. 이 랩에서는 Burp Suite 를 실행하고 주요 탭 및 기능에 대한 안내 투어를 진행합니다. 이 기초 지식은 웹 애플리케이션 침투 테스트와 관련된 모든 향후 랩에 필수적입니다.
이 단계에서는 Burp Suite 를 실행하고 테스트 활동의 중앙 허브 역할을 하는 메인 대시보드를 탐색합니다.
먼저 LabEx 환경에서 터미널을 엽니다. Burp Suite JAR 파일은 이미 ~/project 디렉토리에 다운로드되었습니다. 다음 명령을 사용하여 애플리케이션을 시작합니다. 로드하는 데 시간이 걸릴 수 있습니다.
java -jar burpsuite_community.jar프로젝트 파일에 대한 대화 상자가 나타납니다. 이 랩에서는 임시 프로젝트를 사용합니다. 기본 선택을 수락하고 Next를 클릭하기만 하면 됩니다.
기본 설정에 대한 다른 대화 상자가 나타날 수 있습니다. Start Burp를 클릭하여 계속 진행합니다.
Burp Suite 가 로드되면 메인 창이 표시됩니다. 가장 먼저 보이는 탭은 Dashboard입니다.
대시보드는 네 개의 주요 사분면으로 나뉩니다.
잠시 시간을 내어 Event log를 살펴보십시오. 프록시 서비스가 시작되었고 애플리케이션이 준비되었음을 나타내는 항목이 표시되어야 합니다. 이 로그는 문제 해결 및 Burp 가 백그라운드에서 수행하는 작업을 이해하는 데 매우 유용합니다.
이 단계에서는 작업 범위를 정의하고 대상 애플리케이션 구조에 대한 자세한 맵을 보는 데 사용되는 Target 탭을 탐색합니다.
Burp Suite 창에서 인터페이스 상단에 있는 Target 탭을 클릭합니다.
이 탭은 테스트 노력을 구성하는 데 중요합니다. 왼쪽에는 두 개의 기본 하위 탭이 있습니다.
Site map 및 Scope 하위 탭을 모두 클릭하여 레이아웃에 익숙해지십시오. 대상 범위를 관리하는 방법을 이해하는 것은 Burp Suite 를 효과적으로 사용하는 데 기본적인 기술입니다.
이 단계에서는 Burp Suite 의 핵심 도구 중 하나인 Proxy 탭을 살펴보겠습니다. Burp Proxy 는 중간자 역할을 하여 브라우저와 대상 웹 애플리케이션 간의 모든 트래픽을 가로채고, 검사하고, 수정할 수 있도록 합니다.
Proxy 탭을 클릭합니다.
여러 하위 탭이 표시됩니다. 지금 가장 중요한 두 가지는 다음과 같습니다.
Intercept is on 버튼이 활성화되면 Burp 는 일치하는 HTTP/S 요청 및 응답을 일시 중지하여 대상지로 전송되기 전에 보고 편집할 수 있도록 합니다. 이는 수동 테스트에 매우 강력합니다. 버튼을 클릭하여 Intercept is on과 Intercept is off 사이를 전환하며 어떻게 변경되는지 확인하십시오. 지금은 꺼진 상태로 두십시오.현대적인 실시간 애플리케이션에서 사용되는 WebSocket 트래픽을 기록하기 위한 WebSockets history 탭도 있습니다. 지금은 Intercept 및 HTTP history 보기의 기능 이해에 집중하십시오.
이 단계에서는 수동 및 자동 테스트를 위한 두 가지 필수 도구인 Repeater와 Intruder를 찾습니다.
먼저 Repeater 탭을 클릭합니다.
Burp Repeater 는 개별 HTTP 요청을 수동으로 조작하고 재발행하는 간단하지만 강력한 도구입니다. 다른 Burp 도구 (예: Proxy history) 에서 요청을 Repeater 로 보내고, 요청의 일부 (예: 매개변수 또는 헤더) 를 수정하고, 반복해서 보낼 수 있습니다. 이는 애플리케이션 로직 테스트, 결과 검증 및 세밀한 수동 공격 수행에 완벽합니다. 인터페이스는 분할되어 있으며 왼쪽에는 요청, 오른쪽에는 응답이 표시됩니다.
다음으로 Intruder 탭을 클릭합니다.
Burp Intruder 는 사용자 정의 공격을 자동화하기 위한 구성 가능한 도구입니다. 주요 용도는 "퍼징 (fuzzing)"으로, 수정된 데이터를 사용하여 대량의 요청을 보내 취약점을 탐색하는 것입니다. 비밀번호 무차별 대입, 식별자 열거 또는 SQL 인젝션 결함 찾기와 같은 작업에 사용할 수 있습니다. Intruder 는 요청 템플릿을 정의하고, 페이로드 위치를 표시한 다음, 페이로드 세트 및 공격 유형을 구성하여 작동합니다.
잠시 시간을 내어 Repeater 와 Intruder 의 인터페이스를 살펴보고 그 목적과 레이아웃을 파악하십시오.
이번 투어의 마지막 단계에서는 Burp Suite 의 기능을 확장 프로그램으로 확장할 수 있는 Extender 탭을 탐색합니다.
Extender 탭을 클릭합니다.
이 영역은 새로운 기능을 도입하거나 다른 도구와 통합할 수 있는 애드온인 Burp Suite 확장 프로그램을 관리하는 허브입니다. 여기의 주요 하위 탭은 다음과 같습니다.
BApp Store를 탐색하여 사용 가능한 다양한 확장 프로그램을 확인하십시오. 이러한 확장성은 Burp Suite 가 인기 있는 주요 이유 중 하나입니다.
이 랩에서는 Burp Suite 를 성공적으로 실행하고 사용자 인터페이스에 대한 포괄적인 투어를 완료했습니다. 이제 가장 중요한 탭의 목적과 레이아웃에 익숙해졌습니다.
Burp Suite UI 에 대한 이러한 기본적인 이해를 바탕으로 이제 적극적인 웹 애플리케이션 보안 테스트를 포함하는 고급 랩을 다룰 준비가 되었습니다.