웹 취약점 진단을 위해서 필요한 기술
바로, 웹 프록시 툴(Web Proxy Tool)이다.
웹 프록시 툴(Web Proxy Tool)
: 프록시를 사용하여 네트워크에서 통신하는 HTTP request를 가로채어 분석과 수정을 할 수 있으며, 웹 애플리케이션 취약점을 테스트하거나 해킹 공격을 수행할 수 있는 도구이다.
여기서 프록시란?
: 클라이언트로부터 요청을 받아 중계하는 서버를 말한다. 간단히 말하면 중계 서버라고 생각하면 된다.
수많은 취약점 진단 툴 중에서도 많이 쓰이는 툴은 Burp Suite이다.
Burp Suite를 설치해보고, 다음 글에서는 간단하게 취약점 진단을 해보려고 한다.
Burp Suite를 설치하기 전에, 컴퓨터에 JAVA JDK가 설치되어 있어야 한다.
JAVA JDK가 설치되어 있다고 가정을 하고, Burp Suite 설치 과정을 보여드리려고 한다.
Burp Suite 설치 과정
구글에 Burp suite free edtion을 검색하면
Burp Suite를 다운로드 할 수 있는 사이트가 나온다.
사이트에 접속하면
.png)
위와 같은 페이지로 이동하게 되는데, [Download the latest version]을 클릭한다.
.png)
클릭하면 자신의 컴퓨터 환경에 맞는 패키지로 선택되어 있다. 확인한 후, [Download] 버튼을 클릭하면 Burp suite가 설치된다.
다운로드가 된 후, 설치가 시작되면
.png)
진행을 위해 [Next] 버튼을 누른다.
.png)
Burp Suite가 설치될 위치를 선택한 후, [Next] 버튼을 누른다.
.png)
[Next]를 누른다. 설치가 진행되는 것을 확인할 수 있을 것이다.
.png)
설치가 끝나면 프록시 서버를 설정해주어야 한다.
클라이언트 소프트웨어인 Internet explorer을 클릭한다.
.png)
오른쪽 상단에 보면 톱니바퀴가 있는데 그걸 클릭한 후, [인터넷 옵션]을 클릭한다.
.png)
[연결] Tab을 클릭하고, [LAN 설정] 버튼을 클릭한다.
.png)
프록시 서버에서 주소는 127.0.0.1을 입력해주고, 포트는 8080을 입력해준다.
입력한 후, [확인] 버튼을 누르면 된다.
Burp Suite를 사용할 때에는 '사용자 LAN에 프록시 서버 사용(이 설정은 전화 연결이나 VPN 연결에는 적용되지 않음)'을 체크해줘야 한다. 실습을 한 후에는 체크를 해제해줘야 구글과 네이버와 같은 포털 사이트 접속이 원할하게 된다.
.png)
Burp Suite를 실행시키면 위와 같은 화면이 나온다.
우리가 설정해준 주소와 포트 번호가 입력이 되어 있는지 확인해야 된다.
[Next] 버튼을 누른 뒤,
.png)
[Proxy] -> [Options]에서 입력한 주소와 포트 번호를 확인하면 된다.
알맞게 입력되어 있다면 취약점을 분석할 준비는 끝난 것이다.
저의 주관적인 생각이 담긴 글입니다.
이 글을 보신 분들에게 도움이 되고자 글을 썼지만 부족한 부분이 많을 수 있습니다.
그 점 양해 부탁드리며, 추가했으면 하는 부분이나 잘못된 부분은 댓글로 알려주시면 감사하겠습니다!
'보안' 카테고리의 다른 글
| [Webhacking] 학교 동아리 Git Page 만들기 (2) | 2020.11.28 |
|---|
댓글