이 글을 읽은 후 Burp Suite 다운로드 설치와 웹 해킹 해킹 툴로 어떻게 쓰이는지 알게 되고 보안에 문제가 없는지 진단하는 웹 해킹 모의훈련에 어떻게 사용되는지 알 수 있습니다. 다운로드부터 사용법까지 알아보겠습니다.
2021.12.15 - [생활] - 아이디 비밀번호 해킹 당했는지 확인하는 법
Burp Suite 다운로드
Burp Suite를 다운로드 받으시려고 한다면, 대충 어떤 툴인지 알고 검색하시는 것으로 판단하여 Burp Suite가 어떤 것이며 제조사는 어디입니다. 이런 툴 소개에 대한 글은 생략하고 바로 burp suite 설치하는 방법에 대해 알아보겠습니다. 구글 포탈에서 burp suite 다운으로 검색합니다.
이메일을 입력하지 않고, Go straight to downloads 버튼을 클릭합니다.
전문가 버전과 무료버전이 있습니다. Burp Suite Community Edition이 무료 버전임으로 선택 박스에서 Burp Suite Community Edition을 클릭하여 다운로드 버튼을 클릭합니다.
Burp Suite 설치
다운로드 받은 파일을 열어 설치를 진행합니다. Next를 눌러 진행합니다.
설치에 필요한 용량이 294M 정도로 작지 않은 용량입니다. 보통은 디스크 관리를 잘하지 않아서 기본적으로 설정되어 있는 경로에 설치하지만, 용량 관리가 필요하신 분은 저처럼 별도의 D드라이브에 설치하시는 게 좋습니다. 저는 외장하드를 별도로 구매하여 D드라이브로 사용하고 있어, D드라이브로 경로를 설정해주었습니다.
아래 화면은 중요한 내용이 아님으로 Next 눌러줍니다.
Burp Suite 실행 및 사용법
설치 완료 후 Burp Suite를 실행시킵니다. 실행을 시키면 아래와 같은 화면이 보이고, 해당 화면에서는 Burp Suite를 통해 여러가지 작업을 할 건데 그 작업을 임시로만 사용할 것인지 하드디스크에 저장할 것인지 물어보는 화면입니다. 우리는 어디 취약점 분석을 위해 프로젝트를 하는 것이 아니기 때문에 Temporary project를 선택하고 Next 버튼을 눌러줍니다.
해당 화면 또한 저희가 기존에 설정해둔 설정파일 같은 것이 없기 때문에 Use Burp defaults로 선택 후 Start Burp를 눌러줍니다.
잠시 로딩 화면 후에 여러가지 기능을 가진 프로그램이 실행되며 그중에서도 저희는 Proxy와 Repeater 기능을 자주 사용하게 됩니다. 아래 Burp Sutie Proxy 화면에서 보이는 파란색 버튼에 Intercept is on이라는 글씨가 적혀 있습니다. Intercept라는 영어단어는 훔치다, 뺏어오다 라는 의미로 주로 사용됩니다. 여기서 Intercept의 의미도 동일합니다.
저희 PC나 노트북에서 구글사이트를 접속하려면 PC에서 구글 사이트로 접속 요청을 보내고, 구글 사이트에서는 검색할 수 있는 화면을 저희 PC에 응답을 줍니다. 이런 주고받는 데이터를 Burp Suite Proxy를 사용하여 Intercept 하여 통신 데이터를 확인할 수 있으며 조작할 수 있게 됩니다.
실제로 Burp Suite를 사용하여 해킹이나 모의훈련에 사용되는 대표적인 예시는 쇼핑몰 입니다. 쇼핑몰에서 가장 중요한 것은 결제입니다. 우리가 쇼핑몰 사이트에 접속해서 물건을 구매한다고 가정해봅시다. 물건을 구매하기 위해서는 사고 싶은 물건을 검색하여 고르고 장바구니에 집어넣습니다. 그리고 장바구니에서 결제를 하기 전 고른 품목 리스트를 재확인하고 결제 수단을 선택하여 금액 결제 시 Burp Suite를 통해 사이트에 보이는 결제 금액이 만원이라고 가정했을 때 intercept 한 데이터에는 결제 금액이 적혀있을 것이고, 해커는 만원이라는 금액을 0으로 변환하여 서버로 보내면 서버에서 별도의 인증 절차가 없다면 0원으로 결제가 될 것입니다. 이런 간단한 방법은 이미 널리 알려져 있으며 기본적으로 웬만한 곳은 전부 보안이 되어있습니다.
Burp Suite 다운로드 및 설치방법과 해킹에 사용되는 사례까지 소개해드렸습니다. 실제로 실습하면서 구체적으로 어떻게 설정하고 사용하는 방법에 대해서는 글이 너무 길어져 다음 포스팅에 남기도록 하겠습니다.
'개발' 카테고리의 다른 글
(5) 독학으로 앱 만들어보기 (아이디어 도출, 구상하는 법) (0) | 2022.03.16 |
---|---|
Burp Suite 사용 방법 및 해킹 실습 (1) (0) | 2022.01.06 |
(4) 독학으로 앱 만들어보기 (안드로이드 스튜디오 학습) (0) | 2021.12.17 |
(3) 독학으로 앱 만들어보기 (코틀린 안드로이드 앱 공부) (0) | 2021.10.02 |
(2) 독학으로 앱 만들어보기 (코틀린 공부) (0) | 2021.09.28 |
댓글