웹 사이트를 진단하면서 Burp Suite를 처음 사용할 때 어느정도 설정을 해두면 편리하다.
실무를 진행하면서 Burp Suite를 실행하고 어떠한 설정을 먼저 진행했는지 TIP을 공유하려고 한다.
1. Basic Settings - 편하게 보기
우선적으로 본인은 밝은 화면은 오래 보면 눈이 아파 좋아하지 않는다. 그런 경우 설정 - User Interface - Display에서 Theme를 Dark로 설정하면 어두워진 화면으로 볼 수 있다. 또한, Font Size를 조절하면 글자 크기를 키울 수 있다.
추가적으로 User Interface - Inspector and message editor 탭에 가면 프록시를 잡아 HTTP 요청 및 응답값을 볼때 글자 폰트를 변경할 수 있다.( Display에 있던 폰트는 그 외 메뉴 등에 관한 폰트를 설정하는 것)
또한, HTTP 요청 및 응답값에서 한글이 깨지는 경우가 있으므로 Character sets에서 Use a specific character set - UTF-8로 설정해주면 한글 깨짐을 막을 수 있다.
2. Scope Setting - 원하는 진단 대상만 설정하기
Burp Suite 프록시를 켜고 대상 사이트에 들어가면 자동으로 Target 메뉴에 사이트 목록이 뜬다. 여기서 원하는 진단 대상 사이트에 우클릭 - Add to scope를 통해 원하는 진단 대상의 패킷만 캡처할 수 있다. 추가적으로 프록시 세팅도 필요하므로 우선 원하는 진단 대상을 모두 Add to scope 해둔다. (추가하면 위쪽에 Re-enable 메시지가 뜰수 있는데 눌러줘도 되고 눌러주지 않아도 상관없다.)
혹은 수동으로 진단 URL 대상을 넣어줄 수도 있다. Scope settings 클릭 후 Prefix에 원하는 도메인을 삽입하도록 한다.
3. Proxy Setting - 원하는 진단 대상만 설정하기
Proxy 탭에서 Proxy Settings 클릭 후 And URL target scope 부분을 요청,응답값 부분 둘다 체크한다. 또한, 응답값도 확인하기 위해 Intercept responses based... 도 체크하는 것이 좋다.
위의 작업들을 수행하면 기본적으로 편리하게 웹 사이트를 진단할 수 있다. 추가적인 Burp Suite 사용 방법 및 플러그인 사용법 등은 추후 추가하도록 하겠다.
'3. 웹 애플리케이션 취약점 진단' 카테고리의 다른 글
| 취약점 분석도구 nessus 사용법 (0) | 2023.12.27 |
|---|---|
| 무차별 대입 공격에 사용될 사전 파일을 merge 해주는 도구 [dymerge] (0) | 2023.12.26 |
| URL에 접속하면 정확한 위치 추적이 되는 툴 - TrackURL (0) | 2023.12.26 |
| 아이디 하나로 사람 찾기 - Finduser (0) | 2023.12.26 |
| Google Dorking 기반 GRecon 도구 설치 중 에러 해결 (0) | 2023.12.20 |
