반응형
제목은 어그로성으로 거창하나
실제 내용은 그냥 웹프록시 간략하게 소개하고, 버프 쓸때 필수 설정값 공유 입니당
[웹프록시 소개]
웹 프록시는 유저와 서버 사이에 위치하여 유저/서버 간 전달되는 값을 잡는 역할임
*유저 => 프록시 => 서버
*유저 <= 프록시 =< 서버
종류는 많지만 한국에서 대중적인 웹프록시는 크게 4가지 있음
찰스(맥북 전용), 피들러(윈도우 전용), 버프슈트(맥/윈도우), 파로스(고전)
버프 슈트가 국내에선 제일 대중적인듯!?
*버프의 단점 : 용량이 큼
*버프의 장점 : 그만큼 기능이 많음, 맥/윈도우 다됨
고로 어쩔 수 없이 써야하는 경우가 있음(=쓸줄알아야된다.)
지금 이 글을 적는 이유도.. 저는 다른 프록시 도구를 애용하지만
제공 받은 환경에 버프슈트밖에 없어서 셋팅하는 김에 겸사겸사 이것저것 추가해서 블로깅을 하고있습니당
버프슈트 다운로드 주소 : https://portswigger.net/burp
Burp Suite - Application Security Testing Software
Get Burp Suite. The class-leading vulnerability scanning, penetration testing, and web app security platform. Try for free today.
portswigger.net
버프슈트 다운로드 방법(위 링크 클릭, 원하는 제품 클릭, 다운로드)
1. 폰트 설정
버프슈트는 기본세팅에서 한글이 깨지므로 폰트 수정 필요
폰트 수정 경로 [User options > Display > Change font]
2. 단축키 설정
유용한 단축키
**Ctrl + T / 프록시 ON / OFF
**Ctrl + F/ 패킷 포워딩(보내기)
**Ctrl + Space / 리피터에서 send
*Ctrl + R / 리피터
*Ctrl + I / 인트루더
Ctrl + Shift + R / 리피터로 이동
Ctrl + Shift + I / 인트루더로 이동
Ctrl + Shift + P / 프록시로 이동
Ctrl + Shift + T / 타겟으로 이동
(U=URL, B=base64, H=html)
Ctrl + Shift + U / URL 디코딩
Ctrl + U / URL 인코딩
Ctrl + - / 이전 탭으로 이동
Ctrl + = / 다음 탭으로 이동
==================================
단축키 설정
Add highlight / Ctrl+Alt+H
**아쉬운거 : clear history 단축키 있었으면..
단축키 설정 경로 [ User options > Misc > Edit hotkeys ]
3. 프록시 셋팅
적절히 원하는 방식으로 설정
127.0.0.1은 내 localhost IP이다.
포트는 안쓰는 포트번호로 설정한다.
아래처럼 셋팅은 버프에 셋팅한 것이고, PC환경에서도 PROXY설정 또는 크롬 브라우저에 프록시 설정 해줘야된다.
4. SCOPE 설정
사이트 개수가 적으면 풀경로(ex. https://www.naver.com)를 를 Add 해주고
서브도메인이 많은 경우 등등 정규표현식 써주면 유용
아래 꺼는 일반
정규표현식
5. Extender(확장도구 사용)
Extender탭 요약
- Extensions : 설치된 확장 기능 나열
- BApp Store : 버프 상점, 여기서 유료 확장도구를 구매하거나 무료 확장도구를 설치 가능
- APIs : 확장 기능 관련 API 모음
- Optons : JAVA, Python, Ruby 등 확장관련 셋팅
뭐 위 내용 읽어도 처음보는 사람은 잘 모른다.
간략하게 설명하자면 BApp Store에서 자기가 필요하다고 생각하는 확장도구 몇개 설치해서 쓴다고 보면된다. (보통 무료 도구 쓰고, 잘 안쓰는 사람도 많다, 쓰는사람도 많음)
직접 개발해서 사용하시는 분들도 종종 봄
주의할 점은 BApp Store는 버프슈트 프로(유료)에서만 사용 가능하다.
6. Burp Suite Professional 과 Burp Suite Community Editons 차이
아래 그림을 보면 상세히 나옴
두개 다 써본 경험 상 체감되는 차이점은 아래와 같다.
- 버프슈트 프로 = 유료 / BApp Store 사용 가능(은근 쏠쏠함) / 검색 기능 존재(이건 무료에도 넣어줘야 되지 않냐)
- 버프슈트 커뮤니티 = 무료다(장점)
사실 프로의 기능은 손과 눈으로 대체하면 된다.
근데 회사가면 프로 줄 가능성 높다
이렇게 길게 안쓰고, 몇개 셋팅값만 적으려 했는데 괜히 욕심나서 글을 길게 썼습니다.
끝입니당
728x90
반응형
'정보보안' 카테고리의 다른 글
| [버프슈트] 버프슈트 Target - Scope 설정 및 정규표현식 정리 (0) | 2022.11.15 |
|---|---|
| [CISA] 2022/2023 CISA 시험접수하기, 스케쥴 등록, 언어 설정 (0) | 2022.11.07 |
| [자료구조/알고리즘#1] 트리[Tree] 구조 (이진트리, B트리, AVL) (0) | 2022.09.12 |
| [자료구조/알고리즘#0] 자료구조에 대하여 (0) | 2022.09.12 |
| [티맥스티베로(Tibero DB)] EOL/EOS 버전 및 지원 정책 (2022년 기준), 티베로6 eos (0) | 2022.05.26 |
