회사에서 관리하던 페이지의 보안 체크가 필요하여 Burp Suite, 버프스위트라는 것을 사용해 보게 되었습니다..!
결국 배워서 잘 해결했네요,, 배운 것 공유합니다!!!
Burp Suite Community Edition이란?
Client와 Server사이에서 통신을 주고 받는 것을 가로채 확인/수정해서 패킷을 다시 보내줄 수 있는 프로그램입니다. (= Proxy)
버프스위트 사용법
1. 무료 버전은 Temporary project만 사용 가능합니다~!
2. Proxy > Intercept > Open browser로 브라우저를 열어줍니다.
기존 크롬으로 인터셉트 하려면 설정해줘야 할 것들이 많기 때문에 Burp Suite에서 기본 세팅된 브라우저를 제공합니다
3. Intercept is off된 상태로 콜 받을 페이지로 동합니다
- Intercept is off : 콜 받지 않음
- Intercept is on : 콜 받음
- A 페이지 → B 페이지로 이동 시 A 페이지에서 intercept on 활성화 한 채로 B페이지로 이동하는 버튼 클릭하면 B 페이지로 이동하는 패킷이 해당 홈페이지로 전송되지 않고 Burp Suite으로 전송됨(콜 가로채기)
- B 페이지로 가는 콜이 도달하지 않기 때문에 Burp Suite 브라우저에서는 무한 로딩
4. Intercept is on으로 두고 페이지 새로고침 시 새로고침 패킷이 웹서버로 전송되지 않고 아래 코드 형태로 전송
가로챈 패킷을 여기 Burp Suite에서 수정해서 다시 전송할 수 있음 → 해킹의 원리
5. 콜 전송 상태는 Network 탭에서도 확인 가능하나 조회만 가능한데요,
6. 패킷 history는 http history 탭에서 열람 가능합니다
7. Intercept 혹은 HTTP History에서 우클릭 → Send to Repeater
8. Repeater를 통해 수정한 패킷을 Send 후 Response가 날아오는 것을 HTTP History에서도 열람 가능합니다.
추가 정보
127.0.0.1:8080
- 의미 : 해당 컴퓨터(localhost)에서 8080번 포트를 사용하는 어떤 응용 프로그램이 동작 중
- 웹 브라우저에서 http://127.0.0.1:8080과 같이 접속하면, 해당 컴퓨터의 8080번 포트에서 동작하는 로컬 웹 서버에 접근 가능
127.0.0.1
8080
|
GET vs POST 방식
- 두 방식 모두 데이터를 웹 서버로 전송하는 방식
GET : URL 뒤에 tracking code 붙듯이 정보 전송, 간단한 정보 or 검색 정보의 URL을 쉽게 공유하기 위함
POST : 전송하고자 하는 정보가 본문에 포함되어 보안 강화
쿠키값 확인방법
- JSESSIONID로 시작하는 것이 cookie값
- F12 > Application > Cookies
참고 블로그
https://psj-study.tistory.com/219
[ Web ] 버프 스위트 (Burp suite) 설치 및 사용법 (최신 버전)
Burp Suite란, Client와 Server사이에서 통신을 주고 받는 것을 가로채 확인/수정해서 패킷을 다시 보내줄 수 있는 프로그램입니다. 흔히 말해 쁘락지(Proxy)라고 합니다. 1. Burp Suite 다운로드 https://portswi
sangjun.xyz
혹시 본문에 잘못된 정보가 있다면 댓글 부탁드립니다....!
선플 악플 모두 환영요,,
그럼 모두,,
즐코하세요!!!!!!!!!!!!!!
코딩은 아니지만..ㅎ
'Server' 카테고리의 다른 글
| JWT Authentication이란 (JSON Web Token) (0) | 2021.11.17 |
|---|---|
| PostgreSQL: 맥 psycopg2 설치 에러 해결법 (0) | 2019.10.04 |