intro.
보안 감사에 매개변수 변조 취약점, 중요정보 외부 노출 두가지 취약점 발생. client/server 통신 확인에 웹 프록시 툴 버프스위트 사용
버프스위트 사용법
1) Community Edition 다운로드
https://portswigger.net/burp/communitydownload
2) proxy > Intercept > Open browser로 버프스위트 상 브라우저 열기
* 버프스위트에서 자동 세팅된 브라우저 제공3) 점검 페이지 이동
- Intercept is off : 콜 받지 않음
- Intercept is on : 콜 받음
- A 페이지 → B 페이지로 이동 시 A 페이지에서 intercept on 활성화 한 채로 B페이지로 이동하는 버튼 클릭하면 B 페이지로 이동하는 패킷이 해당 홈페이지로 전송되지 않고 Burp Suite으로 전송됨(콜 가로채기)
- B 페이지로 가는 콜이 도달하지 않기 때문에 Burp Suite 브라우저에서는 무한 로딩
4) proxy > HTTP history
- Request, Response 패킷 히스토리 확인
5) Repeater
- 개별 HTTP 및 Websocket 메시지를 수동으로 조작 및 재발행하고 애플리케이션의 응답을 분석
- send Repeater 선택 후 Repeater 탭으로 이동하여 세부사항 확인 및 파라미터 변조 후 요청을 테스트 할 수 있음
웹 개발자 & DA