LabEx
로그인무료 가입

Firefox 에 Burp CA 인증서 설치하기

Beginner
지금 연습하기

소개

Burp Suite 는 웹 애플리케이션 보안 테스트에 사용되는 강력한 프록시 도구입니다. 브라우저와 대상 웹 서버 사이에 위치하여 양방향으로 통과하는 트래픽을 가로채고, 검사하고, 수정할 수 있도록 합니다.

암호화된 HTTPS 트래픽을 검사하기 위해 Burp Suite 는 자체 트래픽에 대한 중간자 공격 (Man-in-the-Middle, MitM) 을 수행해야 합니다. 이는 서버로부터의 TLS 연결을 끊고 브라우저와 새로운 연결을 설정하는 방식입니다. 브라우저가 보안 경고 없이 이 새로운 연결을 수락하려면 Burp Suite 가 제시하는 인증서를 신뢰해야 합니다.

이 랩에서는 Burp Suite 의 고유한 인증 기관 (Certificate Authority, CA) 인증서를 다운로드하여 Firefox 브라우저에 설치하는 방법을 배우게 됩니다. 이는 보안 테스트를 위해 Burp Suite 를 사용하려는 모든 사람에게 기본적인 설정 단계입니다.

설정된 브라우저에서 http://burpsuite로 이동

이 단계에서는 Burp Suite 와 Firefox 를 시작한 다음, 특수 Burp Suite URL 로 이동하여 인증서 다운로드 페이지에 액세스합니다. 랩 환경의 Firefox 는 Burp Suite 를 프록시로 사용하도록 미리 구성되어 있습니다.

먼저 Burp Suite 를 실행해야 합니다.

  1. 데스크톱 왼쪽 상단의 "Applications" 메뉴를 클릭합니다.
  2. "Other"로 이동하여 "Burp Suite Community Edition"을 선택합니다.
  3. 대화 상자가 나타납니다. 기본 설정 ("Temporary project") 을 그대로 두고 "Next"를 클릭합니다.
  4. 또 다른 대화 상자가 나타납니다. "Start Burp"를 클릭합니다.

Burp Suite 가 실행되면 Firefox 브라우저를 엽니다.

  1. 화면 하단의 애플리케이션 독 (dock) 에 있는 Firefox 아이콘을 클릭합니다.

두 애플리케이션이 모두 실행되면 Firefox 에서 새 탭을 열고 주소 표시줄에 다음 주소를 입력한 다음 Enter 키를 누릅니다.

http://burpsuite

Burp Suite 환영 페이지가 표시되어야 합니다. 이 페이지는 Burp Suite 프록시에서 직접 제공되며 브라우저가 올바르게 구성되어 프록시를 사용하도록 설정된 경우에만 액세스할 수 있습니다.

CA 인증서 파일 다운로드

이 단계에서는 방금 연 환영 페이지에서 Burp CA 인증서 파일을 다운로드합니다.

http://burpsuite 페이지에서 오른쪽 상단에 "CA Certificate"라는 링크가 표시됩니다.

  1. CA Certificate 링크를 클릭합니다.
  2. 파일 다운로드 대화 상자가 나타납니다. Firefox 에서 파일로 무엇을 할지 묻습니다.
  3. "Save File" 옵션이 선택되었는지 확인하고 "OK"를 클릭합니다.

브라우저에서 cacert.der라는 파일을 다운로드합니다. 기본적으로 이 파일은 /home/labex/Downloads에 있는 Downloads 디렉토리에 저장됩니다. 다음 단계에서 이 파일이 필요합니다.

Firefox 인증서 관리자 열기

이 단계에서는 Firefox 설정을 통해 인증서 관리자를 엽니다. 이곳은 Firefox 가 신뢰하는 모든 인증서를 저장하는 곳입니다.

Firefox 브라우저 내에서 다음 지침을 주의 깊게 따르십시오.

  1. Firefox 창 오른쪽 상단에 있는 애플리케이션 메뉴 버튼 (가로줄 세 개) 을 클릭합니다.
  2. 드롭다운 메뉴에서 Settings를 선택합니다.
  3. 열리는 Settings 탭에서 왼쪽 탐색 창에 있는 Privacy & Security를 클릭합니다.
  4. 페이지 하단까지 스크롤하여 Certificates 섹션을 찾습니다.
  5. View Certificates... 버튼을 클릭합니다.

그러면 "Certificate Manager" 창이 열리며, "Your Certificates", "People", "Servers", "Authorities"와 같은 여러 탭이 있습니다.

다운로드한 인증서를 'Authorities' 탭으로 가져오기

이 단계에서는 이전에 다운로드한 cacert.der 파일을 가져옵니다. 이 인증서는 인증 기관 (CA) 역할을 하므로 "Authorities" 탭으로 가져와야 합니다.

이전 단계에서 연 "Certificate Manager" 창에서:

  1. Authorities 탭이 선택되었는지 확인합니다.
  2. 창 하단에 있는 Import... 버튼을 클릭합니다.
  3. "Open File" 대화 상자가 나타납니다. 기본적으로 ~/project 디렉토리에서 열릴 수 있습니다. 인증서가 저장된 Downloads 디렉토리로 이동해야 합니다. 왼쪽 창에서 Downloads를 클릭합니다.
  4. cacert.der 파일을 선택합니다.
  5. Open 버튼을 클릭합니다.

"Open"을 클릭하면 이 인증서의 신뢰 수준을 설정하라는 새 대화 상자가 나타납니다. 다음 단계에서 이를 구성합니다.

웹사이트에 대한 PortSwigger CA 신뢰 설정

이것은 마지막이자 가장 중요한 단계입니다. Firefox 에 가져온 인증서가 웹사이트를 식별하는 데 신뢰하도록 명시적으로 알려야 합니다. 이를 통해 Burp Suite 는 브라우저 오류를 발생시키지 않고 HTTPS 트래픽을 가로챌 수 있습니다.

이전 단계에서 cacert.der 파일을 선택한 후 "Downloading Certificate"라는 제목의 대화 상자가 나타납니다. "PortSwigger CA"에 대한 신뢰 설정을 지정하라는 메시지가 표시됩니다.

  1. 이 대화 상자에서 Trust this CA to identify websites 옆의 확인란을 선택합니다.
  2. 다른 확인란 ("Trust this CA to identify email users") 은 선택하지 않은 상태로 둡니다.
  3. OK 버튼을 클릭하여 신뢰 설정을 저장합니다.

이제 인증서가 설치되었습니다. Certificate Manager 의 "Authorities" 탭에 "PortSwigger"가 인증 기관으로 나열된 것을 볼 수 있습니다.

  1. OK를 클릭하여 Certificate Manager 창을 닫습니다.
  2. 이제 Firefox 의 Settings 탭을 닫을 수 있습니다.

Burp CA 인증서 설치를 성공적으로 완료했습니다!

요약

이 랩에서는 Burp Suite 사용을 위한 중요한 설정 작업을 완료했습니다. Burp Suite 를 성공적으로 실행하고, Firefox 를 사용하여 고유한 CA 인증서를 다운로드했으며, 해당 인증서를 브라우저의 신뢰 저장소로 가져왔습니다.

PortSwigger CA 를 신뢰함으로써 Firefox 가 Burp Suite 가 중간자 (man-in-the-middle) 역할을 하도록 구성했으며, 이를 통해 보안 테스트 목적으로 암호화된 HTTPS 트래픽을 가로채고, 보고, 수정할 수 있습니다. 이 기술은 웹 애플리케이션 보안 분야에서 일하는 모든 사람에게 필수적입니다. 랩을 성공적으로 완료하신 것을 축하드립니다!