Burp Suite란?
Burp Suite는 Portswigger에서 제작하고 관리하는 프록시 도구입니다. 공개되어있는 프록시 도구들 중 가장 유명하고 무료로 사용하더라도 대부분의 기능을 편리하게 사용할 수 있다는 장점이 있습니다. 보안업계에 종사한다면 프록시 도구를 사용할 줄 아는 것이 기본 중의 기본이라고 할 수 있습니다. 실무에서 사용할 때에도 충분히 편리하면서 심지어 대부분의 기능을 무료로 지원한다고 하니 정말 훌륭한 프로그램입니다. 다운로드는 아래 링크를 통해서 받을 수 있습니다.
Burp Suite - Application Security Testing Software
Get Burp Suite. The class-leading vulnerability scanning, penetration testing, and web app security platform. Try for free today.
portswigger.net
설치과정
1) 우선 해당 사이트로 들어가서 Product 탭을 눌러서 나오는 화면을 보고 3번째인 Community Edition을 클릭합니다.
2) 이렇게 화면이 나오게 됩니다. "Go straight to downloads"를 클릭합니다.
3) 이제 본인의 컴퓨터 OS에 해당하는 버전을 다운받으면 됩니다. 일반적으로는 자동으로 선택이 됩니다.
4) 다운로드 이후 설치하시면 됩니다.
실행과정
1) 설치 후 프로그램을 실행시키면 이렇게 로고가 뜨게 됩니다.
2) 아래처럼 화면이 나온다면 "Next"버튼을 클릭해주면 됩니다. 유료 사용자의 경우 프로젝트는 저장해 둘 수 있습니다.
3) 설정을 불러오는 화면입니다. 기본 설정으로 실행시키고자 한다면 "Start Burp"버튼을 눌러주시면 됩니다.
4) 이후 로딩이 진행됩니다.
5) 로딩이 끝나면 이런 화면이 등장합니다. 위에는 탭이 잔뜩 있고, 탭의 아래부분에는 탭에 해당하는 기능들이 있습니다. 개인적으로 자주 사용하는 기능들은 다음과 같습니다.
- Target - 타겟 사이트에 대한 수집된 정보
- Proxy - 프록시 브라우저를 통해 http 정보를 열람하거나 패킷을 가로채서 변조 등을 수행
- Intruder - 일정한 규칙에 따라 요청을 다수 전송할 수 있는 기능
- Repeater - 요청을 변조하여 전송
- Decoder - 특정 문장을 인코딩/디코딩
- Comparer - 두 문장을 비교
6) 프록시 도구로써 사용하는 경우가 크기 때문에 프록시 탭에서 'Open browser' 버튼을 눌러서 브라우저를 실행시킨 뒤 프록시를 통해 분석할 주소를 입력해서 들어가서 분석을 진행할 수 있습니다.
Burp Suite를 이용하는 자세한 방식에 대해서는 CTF 문제를 풀어보면서 자세하게 알아보겠습니다.
'💻Information Security' 카테고리의 다른 글
| TCP와 UDP의 개념과 차이점 (0) | 2024.02.01 |
|---|---|
| XSS와 CSRF의 차이와 구분 (0) | 2024.02.01 |
| XSS 공격 시나리오 (1) | 2024.01.29 |
| DOM(Document Object Model)이란? (0) | 2024.01.29 |
| DDoS(분산 서비스 거부 공격)이란? (1) | 2024.01.28 |
