BurpSuite 보안 진단 프로그램 사용법

@@본인이 만든 API를 테스트 할 때에만 사용하자.@@

 

내가 만든 API의 응답값을 변조하여 보안 진단 테스트를 하기 위해서 BurpSuite 프로그램을 사용하려 한다.

 

BurpSuite 다운로드 후, Community 버전을 다운로드 한다.

 

쭉 다운로드 한 후, 

내 컴퓨터의 proxy 서버를 설정한다. 

 

 

컴퓨터에서 프록시 - 수동 프록시 설정에서 프록시 서버 사용 설정을 한 뒤, 주소와 포트를 설정해준다.

 

이후 프록시 툴에서 프록시 주소 및 포트를 설정해주고, Request 및 Response 별 어떤 조건에서 인터셉트할지 설정해 준 뒤 intercept on 상태로 변경한다. 

 

나같은 경우 url에 API url만 잡도록 룰을 설정해 준 뒤, 응답 패킷을 변경하여 변조하여 보안 테스트 하였다.

 

응답을 변조하는 방법에는 두가지가 있다.

1. 응답을 intercept 한 뒤 응답코드를 수정하는 방법

2. proxy setting에서 셋팅하여 어떤 코드를 다르게 변조하도록 수정하는 방법

 

1번의 경우 forward를 누르기 전까지 요청이 멈춰있을 때, 응답을 수정하고 forward를 누르거나 인터셉트를 해제하면 된다.

2번의 경우 proxy setting-proxy-Match and replace rules 에서 원하는 룰을 설정한 뒤, 해당 룰에 따라 응답이 치환되게 된다.

 

@@본인이 만든 API를 테스트 할 때에만 사용하자.@@