Burp Suite Spider 기능으로 사이트 구조 파악하기

Burp Suite Spider 기능으로 사이트 구조 파악하기

현재 Burp Suite Community Edition(무료) 최신버전 (글 작성 기준 v2023_11_1_4)에서는 웹 크롤링을 수행하는 Spider 기능을 사용할 수 없다.

그래서 어떻게 최신 버전에서 Spider 기능을 이용할 수 있을지 고민하다가

Spider 기능이 존재하는 BurpSuite 1.7 버전의 모든 요청을 최신 버전 BurpSuite로 포워딩해주면 해주면 되지 않을까 생각했다

 

설정방법

먼저 최신 버전 BurpSuite와 1.7버전 BurpSuite를 다운받는다

 

1. 최신버전 Burp Suite 다운

https://portswigger.net/burp/releases/professional-community-2023-11-1-4?requestededition=community&requestedplatform=

Professional / Community 2023.11.1.4

 

 

2. 1.7 버전 BurpSuite 다운

https://burp-suite-community-edition.software.informer.com/1.7/

Burp Suite Community Edition. Get the software safely and easily.

 

다운로드 탭에 들어가서 1.7.30 버전을 다운

 

 

이렇게 두 파일을 다운받고 각각 설치해준다.

 

 

최신버전 BurpSuite는 그냥 쭉 설치해주고

1.7버전 BurpSuite는 아래처럼 No, install into a different directory를 체크한다

 

 

설치 경로도 v1.7 폴더를 새로 만들어서 잡아준다.

 

 

설치가 완료됐다면 C:\Users\사용자명\AppData\Local\Programs에 들어가서 BurpSuite를 각각 실행시켜준다 (AppData는 숨김폴더라 숨긴항목 보는 설정을 해야함)

 

Proxy - Option 또는 Proxy Settings에 들어가 Proxy listeners 포트를 각각 다르게 설정해준다 (인증서도 각각 설치)

ex) BurpSuite_v1.7 : 9999

      BurpSuite 최신버전 : 9998

 

그 다음 1.7 버전의 User options 탭에 들어가 Upstream Proxy Servers에서 최신버전의 Proxy listeners를 넣어줘서 모든 요청이 최신버전 BurpSuite로 포워딩 되도록 한다

 

이제 네트워크 설정 -> 프록시 에서 1.7버전 BurpSuite로 잡아주면 모든 셋팅은 끝난다

 

실습

한번 http://testphp.vulnweb.com/ 사이트를 Spider로 스캔하고 최신 버전의 BurpSuite에 스캔 결과가 잘 가는지 확인해보자

 

먼저 http://testphp.vulnweb.com/ 사이트에 접속해보면 1.7 BurpSuite의 Target - Site map 메뉴에 해당 사이트가 보일 것이다

 

해당 사이트를 우클릭하고 Spider this host를 클릭하면 Spider가 실행되고 웹을 스캔한다.

 

도중에 Submit Form 이런게 뜨는데 이건 로그인, 게시글 작성 등의 페이지를 만날 때 어떤 값을 넣을지 묻는 것으로

값을 넣어주면 더욱 정확하게 사이트 구조를 파악할 수 있다.

 

Spider 스캔이 끝나면 아래처럼 사이트 구조를 파악할 수 있다.

 

 

BurpSuite 최신 버전에도 Spider 기능을 통해 파악한 사이트 구조가 똑같이 보이는 것을 볼 수 있다

 

 

 

웹 진단 시 이렇게 Spider 기능을 이용해 사이트 구조를 빠르게 파악한 후 진단을 시작하면 시간 절약도 많이 되고 좀 더 자세히 진단할 수 있을 것이다

그리고 굳이 최신버전 없이 BurpSuite 1.7버전만 사용해도 좋지만 필자는 최신버전의 UI도 깔끔하고 BurpSuite Browser 기능을 많이 이용하기 때문에 이렇게 글을 작성해보았다!