ி 버프스위트
웹 애플리케이션의 취약점을 테스트하거나 해킹 공격을 수행할 수 있는 점검 도구이다.
설치는 아래 주소에서 한다.
https://portswigger.net/burp/releases/professional-community-2020-6?requestededition=community
무료는 community 버전이다.
ி 환경 설정
윈도우 검색창에 수동 프록시 설정 변경을 입력하고
해당 기능을 활성화 시켜준다.
포트는 시스템에서 사용하지 않는 포트를 적어준다. 필자는 8080으로 설정하였다.
그 후 저장 버튼을 눌러야 적용된다.
버프스위트에서 모든 인터페이스로 request하는 패킷을 잡는 방법은 다음과 같다.
Proxy > Options > Interface 선택 > Edit > Bind to address > All Interfaces 선택
보안 인증서 문제 해결
CA 인증서를 설치하면 해결된다.
프록시를 킨 상태에서 주소창에 burp/로 접속한 뒤
우측에 CA Certificate를 눌러서 인증서를 다운받는다.
인증서를 실행하고 인증서 설치를 진행한다.
로컬컴퓨터에 저장을 선택한다.
모든 인증서를 다음 저장소에 저장을 선택한다.
신뢰할 수 있는 루트인증기관을 선택한다.
사이트 제한 설정
특정 사이트 request만 잡고 싶을 때 설정한다.
Proxy > Options로 이동해서 Intercept Client Requests와 Intercept Server Responses에 있는
Is in target scope 옵션을 활성화 시켜준다.
Target > Sitemap 또는 Proxy > http history에서
필터링을 원하는 주소에 우클릭하여 Add to Scope를 선택한다.
Target > Scope에서 필터된 항목을 볼 수있다.
include in scope는 request를 잡을 항목, exclude in scope는 제외할 항목을 나타낸다.
include scope에 포함된 주소만 request를 잡는다.
위처럼 설정하면 다른 패킷은 모두 통과하는데 naver.com request만 intercept 한다.
한글 깨짐 해결
user options > display > http message display > 한글 지원 폰트로 변경
응답 패킷 확인 단축키 설정
User options > Misc > Edit hotkeys and locate "Forward intercepted Proxy request and intercept the response"
ctrl + f = 패킷 전송
ctrl + t = proxy on / off
'해킹-보안' 카테고리의 다른 글
| hydra 패스워드 크랙툴 사용법 (3) | 2020.07.13 |
|---|---|
| 파일 업로드/다운로드 취약점 공격 (0) | 2020.07.05 |
| BeEF Framework를 이용한 웹 브라우저 후킹 (0) | 2020.07.04 |
| setoolkit을 이용하여 피싱 사이트 만들기 (2) | 2020.07.04 |
| Blind SQL Injection 공격 시연 (0) | 2020.07.02 |
