웹 취약점 진단을 위한 Burp Suite 설정

웹 취약점 진단을 위한 Burp Suite 설정

1. Burp Suite 다운로드

 - 다운로드 URL : https://portswigger.net/burp/communitydownload

2. Burp Suite 실행

 1) Windows 실행파일(.exe) 다운로드 시
  - 해당 파일을 실행시켜 순서에 따라 설치를 진행한다.

 2) JAR 파일 다운로드 시

  - CMD 창에 아래 명령어를 이용하여 실행한다.

    > java -jar -Xmx1024m Burp suite 파일명(jar)

 ※ CMD 창을 통해 위 명령어를 이용하여 Burp suite를 실행시키는 경우 해당 CMD 창이 종료되면 Burp suite 프로그램도 함께 종료된다. Burp suite 사용 시 작업표시줄에 실행되어 있는 CMD 창이 불편하신 분들은 아래 명령어를 이용하면, 백그라운드에서 실행되도록 할 수 있다.

> start /B javaw -jar -Xmx1024m Burp suite 파일명(jar)

3. Burp Suite가 실행되면 [Next] 클릭한다.

4. [Srart Burp]를 클릭하여 실행한다.

5. 상단의 [Proxy] - [Options] 메뉴를 클릭한다.

6-1. 'Intercept Client Requests' 항목에서 'Intercept requests based on following rules:' 에 체크한다.

6-2. [Add] 메뉴를 클릭하여 아래 내용과 같이 설정 후 [OK] 클릭한다.

 - Boolean operatior : Or 선택 

 - Match type : File extension

 - Match relationship : Matches

 - Match condition : 진단할 파일 확장자

                           ex) asp, aspx, jsp, jspx, php, php3, php5, json, xml, do 등

7.  'Intercept Server Responses' 항목도 상기 6-1, 6-2와 동일하게 설정한다.

8. [Burp] - [Project options] - [Save project options] 를 클릭하여 파일 이름을 지정하고, 설정 내용을 저장한다.

9. 추후 Burp Suite 프로그램 실행 시 저장한 환경설정 파일을 클릭하여 실행한다.

---