LabEx
로그인무료 가입

Burp Suite 에서 Repeater 로 요청 보내기

Beginner
지금 연습하기

소개

Burp Suite 는 웹 애플리케이션 보안 테스트를 위한 필수적인 도구 모음입니다. 가장 강력한 기능 중 하나는 Repeater 도구로, 개별 HTTP 요청을 수동으로 편집하고 재전송하며 애플리케이션의 응답을 분석할 수 있습니다. 이는 취약점 테스트, 발견 사항 확인 및 애플리케이션 로직 이해에 매우 유용합니다.

이 랩에서는 Burp 의 Proxy 기록에서 Repeater 도구로 요청을 보내는 기본적이면서도 중요한 워크플로우를 배우게 됩니다. 이는 모든 수동 요청 조작을 수행하는 첫 번째 단계입니다.

대상 애플리케이션 탐색

이 단계에서는 Burp Suite 를 시작하고 간단한 웹 애플리케이션을 탐색합니다. 이 작업을 통해 Burp 의 Proxy 가 가로채고 기록할 수 있는 HTTP 트래픽이 생성됩니다.

먼저 Burp Suite 를 실행합니다. 애플리케이션 메뉴에서 찾거나 검색하여 실행할 수 있습니다. 실행되면 임시 프로젝트 (temporary project) 옵션을 선택하고 "Next"를 클릭한 다음 "Start Burp"를 클릭합니다.

다음으로, 랩 환경에서 제공되는 웹 브라우저를 엽니다. 이 브라우저는 이미 Burp Suite 프록시를 통해 트래픽을 보내도록 구성되어 있습니다.

브라우저 주소 표시줄에 다음 URL 을 입력하여 대상 애플리케이션으로 이동합니다.

http://127.0.0.1:8000

간단한 환영 페이지가 표시되어야 합니다. 이제 이 상호 작용이 Burp Suite 에 의해 기록되었습니다.

Proxy > HTTP History 탭에서 요청 찾기

이 단계에서는 방금 만든 요청을 Burp Suite 의 Proxy 기록에서 찾습니다. 프록시를 통과하는 모든 요청은 여기에 기록되어 전체 브라우징 활동 로그를 제공합니다.

브라우저에서 Burp Suite 창으로 초점을 전환합니다.

  1. 상단의 Proxy 탭을 클릭합니다.
  2. Proxy 탭 내에서 HTTP history 하위 탭을 클릭합니다.

브라우저가 만든 모든 HTTP 요청 목록이 포함된 테이블이 표시됩니다. 대상 애플리케이션으로 가는 요청을 찾으십시오. Host 열에 127.0.0.1이 있고 URL 열에 /가 있습니다.

##   Host          Method  URL   Params  Edited  Status  ...
----------------------------------------------------------
1   127.0.0.1     GET     /     No      No      200     ...
2   ...           ...     ...   ...     ...     ...     ...

테이블에서 이 요청을 클릭하여 선택합니다. 테이블 아래의 패널에서 전체 요청 및 응답 세부 정보를 볼 수 있습니다.

요청 마우스 오른쪽 클릭

이 단계에서는 선택한 요청에 대한 컨텍스트 메뉴를 엽니다. 이 메뉴는 요청과 상호 작용하고 추가 분석을 위해 다른 Burp Suite 도구로 보내는 주요 방법입니다.

HTTP history 테이블에서 127.0.0.1로 가는 GET / 요청이 여전히 선택된 상태에서 해당 줄의 아무 곳이나 마우스 오른쪽 버튼으로 클릭합니다.

큰 컨텍스트 메뉴가 나타납니다. 이 메뉴에는 다음과 같이 요청에 대해 수행할 수 있는 다양한 작업이 포함되어 있습니다.

  • Repeater 로 보내기 (Send to Repeater)
  • Intruder 로 보내기 (Send to Intruder)
  • Sequencer 로 보내기 (Send to Sequencer)
  • 활성 스캔 수행 (Do an active scan)
  • 항목 저장 (Save item)

이 랩에서는 Repeater로 보내기 옵션에 관심이 있습니다.

컨텍스트 메뉴에서 'Repeater 로 보내기' 선택

이 단계에서는 캡처된 요청을 Burp Repeater 도구로 보내는 작업을 실행합니다.

컨텍스트 메뉴가 여전히 열려 있는 상태에서 마우스 커서를 Repeater로 보내기 옵션 위로 이동하고 클릭합니다.

또는 키보드 단축키를 사용할 수도 있습니다. 요청이 선택된 상태에서 Ctrl+R을 누르기만 하면 됩니다.

이 작업은 요청을 이동시키는 것이 아니라 복사하는 것입니다. 원본 요청은 Proxy 기록 로그에 그대로 남아 있습니다. 이제 복사본이 Repeater 도구에 대기열로 추가되어 작업할 준비가 되었습니다. Burp Suite 창 상단의 Repeater 탭 색상이 변경된 것 (예: 주황색) 을 볼 수 있는데, 이는 새 항목을 받았음을 나타냅니다.

새 Repeater 탭에 요청이 나타나는지 확인

이 단계에서는 Repeater 도구로 이동하여 요청이 성공적으로 도착했는지 확인합니다.

Burp Suite 창 상단에 있는 메인 Repeater 탭을 클릭합니다.

Repeater 인터페이스가 표시되며, 이는 두 개의 주요 패널로 나뉩니다.

  • 요청 패널 (왼쪽): 이 패널에는 방금 보낸 원시 HTTP 요청이 포함되어 있습니다. GET / HTTP/1.1 줄, Host: 127.0.0.1:8000 헤더 및 기타 요청 헤더를 볼 수 있습니다. 이 전체 패널은 편집 가능합니다.
  • 응답 패널 (오른쪽): 이 패널은 처음에 비어 있습니다. 요청을 보낸 후 서버의 응답을 표시합니다.

왼쪽 패널의 요청 세부 정보가 Proxy 기록에서 선택한 요청과 일치하는지 확인합니다. 사이클을 완료하려면 요청 패널 상단에 있는 Send 버튼을 클릭합니다. 그러면 서버의 응답이 오른쪽 패널에 나타납니다.

이제 Proxy 에서 Repeater 로 요청을 성공적으로 이동시켰으며, 수동 테스트를 준비했습니다.

요약

이 실습에서는 Burp Suite 를 효과적으로 사용하는 기본적인 기술을 배웠습니다. Proxy 를 사용하여 HTTP 요청을 성공적으로 캡처하고, HTTP 기록에서 해당 요청을 찾아 Repeater 도구로 보내 수동 분석을 수행했습니다.

이 워크플로우 (Proxy 에서 Repeater 로) 는 수많은 웹 보안 테스트의 기초가 되며, SQL Injection, Cross-Site Scripting (XSS), Insecure Direct Object References 와 같은 취약점을 탐색하기 위해 요청을 즉석에서 조작할 수 있게 해줍니다. Burp Suite 숙달의 필수적인 단계를 완료하신 것을 축하드립니다.