-
설치
https://portswigger.net/burp/communitydownload
위 링크에서 Go straight to downloads 버튼을 클릭해 설치파일을 바로 다운로드 할 수 있다. -
포트 설정
기본 설정으로 127.0.0.1:8080 으로 되어있다.
하지만 나의 경우에는 8080 포트는 로컬 서버용으로 사용중이기에 8081 포트로 변경해서 설정했다. 기본포트 (8080)을 사용하려는 경우엔 별도로 추가 설정이 필요하지 않다.
-
내장 브라우저 열기
포트 설정이 끝났으면 본격적으로 테스트가 가능하다. Chrome 프록시 설정 하는 경우도 있던데, Burp Suite의 내장 브라우저를 통해 별도의 설정 없이 작업을 진행 할 수 있다. Open browser 버튼을 클릭해 내장 브라우저를 열고 작업을 진행하면 된다.
-
Intercept 사용
내장 브라우저로 테스트 할 페이지에 접속했다면, Intercept is off 를 클릭하여 Intercept is on 으로 만들고, 테스트를 진행한다. Client 에서 요청을 보내면, 아래처럼 요청 내용을 확인할 수 있고, 요청 패킷의 파라미터를 임의로 조작해서 파라미터 위변조 등 보안 취약점을 테스트 할 수 있다.
예를 들어, 만약 아래처럼 testParam의 값이 1로 들어왔다면, 임의의 값으로 파라미터의 값을 변경하고 Forward 버튼을 클릭하면, 변조된 파라미터로 요청을 보내게 된다.
값 수정은 에디터에서 직접 할 수도 있고, 오른쪽 패널에서도 쉽게 변경이 가능하다.
웹 취약점 조치 사항이 제대로 적용 되었는지 테스트가 필요하였는데 간단하게 프로그램 설치와 일부 설정으로 간이 테스트를 진행 할 수 있어서 요긴하게 사용하였다.
