[Web Hacking / Burp Suite 버프 스위트] Burp Suite: web proxy 툴의 설치와 주요 기능

웹 모의해킹을 할 때는 해킹 툴을 절대 쓰면 안된다.

그 중에 딱 하나 허용되는 것이 있다. 바로 Burp Suite 이라는 웹 프록시 툴이다.
엄밀히 말하자면 버프 스위트는 해킹 툴이 아니긴 하다. 불법적인 툴이 아니라는 얘기이다.

Burp Suite 이란?

web proxy 툴로, 패킷을 훔쳐보고, 조작할 수 있는 툴이다.
버프 스위트라고도 하고, 버프 슈트라고도 부른다.

proxy는 중간자 라는 뜻인데, 웹 서버로 오고가는 패킷들을 중간에서 가로막고 열람하고 막아서 조작하는 일을 한다.

얘기만 들으면 불법적인 해킹 툴 아니야? 싶기도 한데 이건 연결된 브라우저나 모바일 디바이스에서 직접 프록시를 허용해줘야만 중간에 가로챌 수 있다.
주로 무언가를 분석할 때 사용한다.

버프 스위트를 통해서 할 수 있는 게 정말 많으면서도 무료 버전에서 거의 다 가능하기 때문에 현재 이 툴에 비빌 수 있는 툴이 별로 없다고 한다.

 

Burp Suite 설치하기

PortSwigger 사이트에서 다운로드 받을 수 있다.
(해당 사이트에서 웹 해킹 관련된 많은 좋은 공부 자료들이 있다. 천천히 공부하면서 영어도 배울 수 있다. 추천!)

하단의 링크에서 다운 받을 수 있다. Burp Suite 무료 버전인 community edition이다.
무료버전이지만 웬만한 기능은 다 기한 없이 사용 가능하기에 걱정하지 않아도 된다.

https://portswigger.net/burp/communitydownload

Download Burp Suite Community Edition - PortSwigger

 

이메일 입력할 필요없이  Go straight to download -> 를 클릭해서 다운받는다.

 

next를 계속 누르고, 기본으로 체크되어 있는대로 두고 설치를 마치고 실행한다.

 

 

Burp Suite 주요 기능

버프 스위트를 실행하면 'Proxy' 라는 탭이 존재한다. 해당 탭에서 기본적인 주요 기능을 사용하곤 한다.

 

Intercept

뜻: 축구·농구·럭비 등의 경기에서, 상대편의 패스를 중간에서 가로채는 것.

즉, 컴퓨터 언어로 치환하면 패킷을 중간에서 가로채는 기능인 것이다.

해당 기능을 사용하면([Intercept is on]) 중간을 딱 가로막아서 브라우저가 흐르지 않는 상태로 멈춰있을 때의 상태를 분석할 수 있게 도와준다.
그리고 [Foward] 버튼을 누르거나 다시 on에서 off로 돌려놨을 때 다시 패킷이 흐르게 된다.
이 과정에서 멈춰잇는 패킷을 조작하고 다시 흐르게 하면 조작된 패킷이 흐르게 되는 것이다.

하단의 이미지는Inrercept가 off 되어있는 상태로 자연스럽게 패킷이 정상적으로 웹서버로 흐르고 있음을 보여준다.
이미지에 초록불 신호등이 보이는게 동일한 의미이다.

이제 여기서 [Intercept is off] 버튼을 누르게 되면 [Intercept is on]으로 변경되면서 기존 초록불 신호등 이미지가 빨간불 신호등으로 바뀐다.

 

 

Proxy listeners(Settings > Tools > Proxy)

프록시 리스너 라는 건, 말 그대로 중간에서 패킷을 듣는 역할을 하는 것이다.

IP 주소 등을 설정하고, 프록시를 수동으로 가로챌 수 있게 허용해놓은 브라우저나 디바이스들을 연결해줄 수 있는 세팅인 것이다.

해당 섹션에서 직접 설정해줄 수 있다. 하지만 이 과정은 어렵고 번거로워서 대체할 수 있는 버프 스위트만의 기능이 있다.
하단에서 이어서 설명하겠다.
그렇지만, 이 기능을 나중에 언젠가는 꼭 써보고 쓸 수 있는 사람이 되어야 한다.

 

 

Open Browser

[Open browser]라는 버튼을 누르면 프록시가 자동으로 허용된 브라우저 창이 뜬다.
해당 창에서 활동하는 모든 것들이 버프 스위트에 기록되고, 조작해서 넘길 수도 있다.

공부하는 과정에서는 최대한 환경을 쉽게 해둬야 하기 때문에 공부할 땐 오픈 브라우저 기능을 주로 쓸 예정이다.
다만, 추후 모바일 앱 해킹을 공부할 때는 위에서 설명한 리스너를 수동으로 설정하는 방식으로 해야한다.

 

한글 폰트 깨짐 해결

버프 스위트를 이용하다 보면 한글은 깨져서 보이지 않는다.
아마 기본 설정에서 부터 한글 폰트가 지원이 되지 않아 바꿔줘야 하는 것으로 보인다.

해당 문제는 설정에서 해결해 줄 수 있다.

Settings > User interface > Inspector and message editor
로 들어가서 하단으로 쭉 내리다 보면 HTTP messade display 가 있다.

Font를 한글 지원이 되는 폰트로 설정해주면 된다. 나는 그냥 돋움체 14pt로 변경했다.
굴림체로 다시 변경해야지.. 

 

 

버프 스위트를 사용해서 CTF 워게임 문제들을 풀고 공부하는 것은 다음 포스팅에서 다뤄보도록 하겠다.