본문 바로가기
Webhacking/PortSwigger

Burp Suite 설치 및 사용법

by Mina-Han 2022. 4. 14.

Burp Suite란?

- Burp 또는 Burp Suite는 웹 애플리케이션의 침투 테스트에 사용되는 Tool

- 웹 프록시 서버를 사용 시 클라이언트와 서버 간 통신을 주고받을 때 전달되는 패킷을 가로채 확인하거나, 조작할 때 사용됨

- POST방식인지 GET방식인지도 알 수 있음

Burp Suite 설치

https://portswigger.net/burp/communitydownload

 

Download Burp Suite Community Edition - PortSwigger

Burp Suite Community Edition is PortSwigger's essential manual toolkit for learning about web security testing. Free download.

portswigger.net

Burp Suite 사용법

1. Proxy 설정

  • - 웹 프록시 기능을 통해 오고 가는 Request-Response를 처리할 수 있는 기능의 사용을 위함
  • - 브라우저와 대상 애플리케이션 사이에서 웹 프록시 서버로 작동하며 양방향으로 전달되는 원시 트래픽을 가로채고 검사하고 수정할 수 있음

1-1. burp suite Proxy 설정

기본 설정

1-2. 브라우저 Proxy 설정

  • Chrome의 Proxy를 변경해준다.
  • Chrome - [설정] - [고급] - [시스템] - [컴퓨터 프록시 설정 열기] - [수동 프록시 설정]
  • 프록시 서버 사용을 켜고 주소는 127.0.0.1(localhost), 포트는 8080으로 설정 후 저장

 

2. Proxy 확인

2-1. Burp Suite Proxy Intercept 확인

Intercept is off -> on으로 변경

[Proxy] - [Intercept] - [Intercept is off -> on]
Intercept 된 패킷 정보

<프록시 설정 전> : Chrome -> Google

<프록시 설정 후> : Chrome -> Burp Suite -> Google

 

Chrome 브라우저를 통해 Google로 접근을 시도하면 Google 메인 페이지는 뜨지 않고, Burp suite에 HTTP GET 요청이 찍힘.

Burp Suite가 Chrome의 Google 접속 요청을 잡고 있음. Forward를 클릭하면 요청을 다시 Google로 보냄

[Proxy] - [ntercept] - [Forward]
Forward 된 화면

 

3. Proxy Option 설정

3-1. Server Responses

  • Burp Suite는 기본적으로 HTTP의 Request 정보만 찍히므로 Proxy Options에서 Responses 설정 체크를 해야 함

Intercept Server Responses 체크
Response 내용

위의 화면에서 Response 내용이 뜨는 것을 확인할 수 있음

 

3-2. 원하는 조건만 선택하여 캡처

  • Burp Suite 기본 설정은 Chrome에서 접속을 시도하는 모든 내용을 모두 캡처하기 때문에 불필요한 내용도 캡처할 수 있음. 따라서 필요한 내용만 가져오는 설정을 할 수 있음
  • Intercept 조건을 추가하거나 Edit 하여 상세 설정을 해줌

위의 예시는 Domain name이 daum.net인 것만 매칭을 하여 포함하겠다는 것

 

3-3. 필터 설정

  • 툴에 보여주는 내용의 필터 설정 가능
  • SQL 인젝션이나 XSS 입력 값 검증을 하고 싶을 때 파라미터가 있는 요청한 확인하고 싶으면 Show only parameterized requests를 선택

 
저작자표시

댓글

티스토리툴바