하루종일 테스트를 위해 Burp suite 프로그램을 연구했고
유튜브도 보고
정말 구글링이란 구글링은 다 했지만
결국 나혼자의힘으로 해결하게 되어서 적어보려고한다.
나의 정보로 다들 삽질 하지 마시길...
google에 burp suite를 검색하면 나오는 홈페이지로 이동한다.
커뮤니티 에디션 클릭
왜냐면 커뮤니티 에디션이 공짜버전이다.
클릭하면 이메일 입력하지 않아도 다운로드 페이지로 이동 가능하다.
그냥 쭉쭉쭉 next눌러서 다운로드 받기!
다운로드 받은 burp suite 프로그램을 킵니다.
그리고 burp suite 프로그램 내 브라우저에서 https://localhost:8080/cert 를 쳐서 들어가는게 아니라
내 브라우저에서 https://localhost:8080/cert 를 들어갑니다.
들어가면 자동으로 인증서가 다운로드 됩니다.
다운로드 받은 인증서를 더블클릭 하면 키체인이 열리는데
요거 더블클릭 하면
신로 ㅣ클릭ㅎㅏ고
항상 신뢰로 변경
그리고 burp suite 프로그램에서 open browser 누르고 google.com 검색
잘 들어가지는 모습을 확인할 수 있다.
인증서 안하면 google.com 들어갔을 때 404 뜹니다 ㅠㅠㅠㅠ
먼저 intercept is off 버튼이 보이면 off상태인거고
on버튼을 누르면 on상태가 되는것을 반드시 알고있어야한다.
(나같은 경우 Intercept is off라는 영어를 읽고 음 off구나 라고 생각했지만 초록불이어서
엄청 헷갈렸다.....)
그래서 intercept실습을 하려면 일단 intercept is on
상태로 변경해야함!!!!
setting에 갑니다.
나같은 경우 응답 패킷을 어떤거를 가로챌지 기준을 정하는 건데
그냥 다 걸리게 하고싶어서
URL Does not match 로 선택하고
잉여값을 집어넣었다.
위에는 Request interception 룰이고 파라미터를 변조하고 싶으면 Request interception rules를 응답패킷 변조 방법처럼 설정해서 사용하면 된다.
이렇게 해두고 Open browser
에서 내가 해킹하고싶은사이트에 들어간다.
(제 블로그보고 맘대로 어디가서 해킹하면 안됩니다.. 잡혀가여.....)
나같은 경우에는 비밀번호를 틀렸지만 진입하고싶어서
비밀번호를 틀리게 하기 전에 intercept on 하고 비밀번호 틀린다음 -> response 데이터를 바꿔주었다.
그리고 forward로 계속 진행
그러면 들어가졌지롱~