Burp Suite
이는 가장 널리 사용되는 침투 테스트 및 취약점 찾기 도구로 웹 애플리케이션 보안을 확인하는 데 자주 사용된다. 일반적으로 버프란 웹 보안을 평가하고 실습 테스트를 수행하는 데 사용하는 프록시 기반 도구이다. 사용자 중심 워크플로우(작업 절차 운영적 측면)의 핵심으로 브라우저와 대상 애플리케이션 사이에서 웹 프록시 서버로 작동하며 양방향으로 전송되는 원시 트래픽을 가로채고 검사하고 수정할 수 있다. 이 도구는 스캔 및 공격 권한이 있는 도메인에서만 사용해야한다.
1. Burp suite 설치 링크
아래에 접속해서 자신의 운영체제 버전에 맞는 프로그램을 다운로드 할 수 있다.
https://portswigger.net/burp/releases/professional-community-2021-9-1?requestededition=community
Professional / Community 2021.9.1
This release enables manual testing of hidden HTTP/2 attack surface and adds a number of improvements to Burp Intruder and Burp Scanner. Manually test hidden HTTP/2 attack surface in Burp Repeater You
portswigger.net
2. 설치한 곳에서 BurpSuite를 실행시킨다. 검색해서 실행시켜도 됨.
3. Tomporary Project > Use burp defaults 를 누르고 실행시킨다.
4. 사용을 위한 프록시 설정
컴퓨터 설정에서 프록시 설정에 들어가 다음과 같이 수정해준다.
수동 프록시 설정 시 인터넷이 끊킬 수 있다.
5. 프로그램 내에서 설정이 되었는지 확인
responses도 보고싶다면 하단의 체크박스도 클릭!
또한, 해당부분을 꺼주면 웹페이지를 넘길 때마다 forward를 누르지 않아도 된다.
6. 한글 출력을 위해 글씨체를 바꿔준다.
7. proxy 칸에 있는 open browser 눌러 실행
수업 내용
원래는 import CA certificate 설치했어야하는데, 현재는 프로그램 내 사이트 열면 다 됨.
- Match and Replace
프록시 옵션 ( 보통 쿠키값을 바꿈 )
- Repeater
- 커트럴 + R
- Send ( ctrl + space )
- 리피터내에서 데이터 값을 변경하면서 요청 응답 화면으로 테스트함.
- POST 와 GET 변환 가능
Decoder
- 다양한 인코딩된 것들을 디코딩 인코딩 작업을함
= Comparear
- 응답의 다른부분을 비교확인 가능 ( 길이수가 1만 바뀌는 것들은 육안으로 확인하기 힘듬 )
- plugin 추가
- 자동화 툴 사용X
Ex) 웹 사이트 ( 글을 남기면 -> 대표님에게 문자메시지 )
혹은 회원 정보가 삭제하거나 변경하거나 하는 오류 등이 나면 큰일남
나머지 기능들은
https://www.youtube.com/playlist?list=PL1jdJcP6uQtted4aeuNVSbHaljyD1Q-s-
[보안프로젝트] 버프스위트를 활용한 웹 모의해킹
www.youtube.com
위 유투브를 보며 학습할 예정이다.
'Web hacking > Nomaltic) 웹 해킹 수업 노트 👩💻' 카테고리의 다른 글
| Burp suit 유투브 강의 듣기 (0) | 2021.11.09 |
|---|---|
| [4주차]Blind SQL Injection과 대응방안 (0) | 2021.11.09 |
| [4주차]SQL Injection 대응 방안 (0) | 2021.11.04 |
| [4주차]해시 함수에 대한 이해 (0) | 2021.11.03 |
| 로그인 페이지 만들기를 위한 심폐소생 사이트 (2) (PhpMysql 설치연동, root로 로그인 안될 때 해결법, phpsql연동, 로그인페이지만들기 코드소스) (0) | 2021.10.31 |
