Burp Suite는 웹 애플리케이션 보안 테스트를 위한 통합 플랫폼으로, 웹 취약점 분석, 진단 및 익스플로잇 테스트를 수행할 수 있는 다양한 도구들을 포함하고 있습니다. 보안 전문가와 침투 테스터들이 많이 사용하는 대표적인 도구 중 하나입니다. 이번 글에서는 Burp Suite의 개요부터 주요 기능, 사용법, 장단점까지 상세히 설명드리겠습니다.
Burp Suite는 PortSwigger사에서 개발한 웹 보안 진단 도구입니다. 웹 트래픽을 중간에서 가로채고 분석하거나, 의도적으로 변형하여 서버에 다시 보내는 등 다양한 테스트를 할 수 있도록 해줍니다.
주요 특징은 다음과 같습니다:
Burp Suite는 여러 개의 탭(Tab) 형태의 툴로 구성되어 있으며, 각각의 기능은 다음과 같습니다:
| 구성 요소 | 설명 |
|---|---|
| Proxy | 브라우저와 웹 서버 사이의 트래픽을 가로채고 수정할 수 있음 |
| Target | 타겟 구조 및 취약점 맵핑을 시각적으로 제공 |
| Spider | 사이트 자동 크롤링으로 링크 및 파라미터 수집 |
| Scanner (Pro) | 자동화된 취약점 스캔 (예: SQLi, XSS 등) |
| Intruder | 반복적인 공격 시나리오 실행 (예: Brute Force, Fuzzing) |
| Repeater | 특정 요청을 반복적으로 전송하며 수동 분석 가능 |
| Sequencer | 세션 토큰의 무작위성 평가 |
| Decoder | 인코딩/디코딩 변환 (Base64, URL, Hex 등) |
| Comparer | 요청/응답의 차이를 비교 |
| Extender | 사용자 정의 플러그인 추가 및 BApp 설치 가능 |
Burp Suite의 핵심은 Proxy 서버 역할을 하여 브라우저와 서버 사이의 트래픽을 가로채는 것입니다.
plaintext복사편집[브라우저] ←→ [Burp Suite Proxy] ←→ [웹 서버]
127.0.0.1:8080으로 설정 (기본값)| 항목 | 내용 |
|---|---|
| 개발사 | PortSwigger |
| 대표 기능 | 프록시 인터셉트, 요청 조작, 스캐너, 자동/수동 테스트 |
| 유료/무료 | Community Edition(무료), Professional Edition(유료) |
| 활용 대상 | 모의 해킹, 웹 보안 진단, 개발 보안 점검 등 |
Burp Suite는 웹 보안 테스트에 있어 거의 표준 도구로 사용될 정도로 강력한 기능을 제공합니다. 무료 버전도 많은 기능을 지원하므로, 웹 애플리케이션 보안을 점검하고자 하시는 분이라면 반드시 익혀야 할 도구입니다.
윈도우 운영체제의 노트북에서는 iPhone 유선 테더링이 잘 안되는 경우가 많습니다. 보통 iPhone의 드라이버가 설치가 안되있어서인…
안녕하세요, 혹시 이런 생각해 본 적 없으신가요? "내가 투자한 회사는 누가 감시하고, 어떻게 운영될까?" 오늘은…
1. Gemini CLI란 무엇인가요? Gemini CLI는 터미널 환경에서 직접 Gemini 모델과 상호작용할 수 있도록 만들어진…
과적합은 머신러닝에서 학습용데이터를 과하게 학습하여, 실제데이터를 예측하지 못하는 현상을 말합니다. 인공지능(AI)의 학습 방법은 우리가 시험공부를…