Burp Suite는 웹 애플리케이션 보안 테스트를 위한 통합 플랫폼으로, 웹 취약점 분석, 진단 및 익스플로잇 테스트를 수행할 수 있는 다양한 도구들을 포함하고 있습니다. 보안 전문가와 침투 테스터들이 많이 사용하는 대표적인 도구 중 하나입니다. 이번 글에서는 Burp Suite의 개요부터 주요 기능, 사용법, 장단점까지 상세히 설명드리겠습니다.
Burp Suite는 PortSwigger사에서 개발한 웹 보안 진단 도구입니다. 웹 트래픽을 중간에서 가로채고 분석하거나, 의도적으로 변형하여 서버에 다시 보내는 등 다양한 테스트를 할 수 있도록 해줍니다.
주요 특징은 다음과 같습니다:
Burp Suite는 여러 개의 탭(Tab) 형태의 툴로 구성되어 있으며, 각각의 기능은 다음과 같습니다:
| 구성 요소 | 설명 |
|---|---|
| Proxy | 브라우저와 웹 서버 사이의 트래픽을 가로채고 수정할 수 있음 |
| Target | 타겟 구조 및 취약점 맵핑을 시각적으로 제공 |
| Spider | 사이트 자동 크롤링으로 링크 및 파라미터 수집 |
| Scanner (Pro) | 자동화된 취약점 스캔 (예: SQLi, XSS 등) |
| Intruder | 반복적인 공격 시나리오 실행 (예: Brute Force, Fuzzing) |
| Repeater | 특정 요청을 반복적으로 전송하며 수동 분석 가능 |
| Sequencer | 세션 토큰의 무작위성 평가 |
| Decoder | 인코딩/디코딩 변환 (Base64, URL, Hex 등) |
| Comparer | 요청/응답의 차이를 비교 |
| Extender | 사용자 정의 플러그인 추가 및 BApp 설치 가능 |
Burp Suite의 핵심은 Proxy 서버 역할을 하여 브라우저와 서버 사이의 트래픽을 가로채는 것입니다.
plaintext복사편집[브라우저] ←→ [Burp Suite Proxy] ←→ [웹 서버]
127.0.0.1:8080으로 설정 (기본값)| 항목 | 내용 |
|---|---|
| 개발사 | PortSwigger |
| 대표 기능 | 프록시 인터셉트, 요청 조작, 스캐너, 자동/수동 테스트 |
| 유료/무료 | Community Edition(무료), Professional Edition(유료) |
| 활용 대상 | 모의 해킹, 웹 보안 진단, 개발 보안 점검 등 |
Burp Suite는 웹 보안 테스트에 있어 거의 표준 도구로 사용될 정도로 강력한 기능을 제공합니다. 무료 버전도 많은 기능을 지원하므로, 웹 애플리케이션 보안을 점검하고자 하시는 분이라면 반드시 익혀야 할 도구입니다.
요양원 선택 전 반드시 확인해야 할 체크리스트를 공개합니다. 공식 평가 자료 조회법, 방문 시 확인…
공공기관 채용 비리의 실태와 피해 지원자의 대응법을 정리했습니다. 채용 비리 신고 방법, 공익신고자 보호제도, 취준생…
주식 손실을 세금 절약에 활용하는 합법적 방법을 공개합니다. 해외주식 손익통산, ISA 계좌 활용, 연금계좌 절세까지…
배달이 예상 시간보다 크게 늦으면 취소·환불을 요청할 수 있습니다. 배달앱별 지연 취소 방법과 잘못 배달됐을…
통신비 절약의 핵심은 요금제 최적화입니다. 내 데이터 사용량 확인법, 알뜰폰 전환 비교, 위약금 없이 요금제…