버프스위트 (Burp suite) 사용 가이드 - 2. Scan(Spider), Live passive crawl

본 게시글 Burp Suite Community Edition v2020.12.1 기준으로 작성되었으며, 인프런 '웹 서비스 해킹을 위한 버프스위트 완벽 활용 가이드'를 참고하여 작성했습니다.
www.inflearn.com/course/boan_burpsuite/dashboard

 

#1. Scan

1-1. Scan 이란?  
웹페이지의 디렉토리 구조 및 파일을 파악할 수 있는 기능이다. 1.7 버전대의 burp suite에서는 Spider 라는 메뉴가 진행했던 작업과 비슷하다. 또한, Burp suite 확장 기능 중 dirbuster 기능과도 비슷하다.

다만, Burp suite support center를 보니 최신 버전의 Burp suite (2021.01 기준) Community Edition(무료) 에서는 사용이 불가능하다. 1.7 버전대의 burp suite에서는 Spider 기능 사용이 가능하지만 대안으로 OWASP-ZAP에서 제공하는 Dirbuster를 사용하는 것이 좋을 것이라는 의견이 많아 해당 기능에 대한 설명은 생략하고, 추후 Dirbuster에 대한 게시글을 따로 업로드 할 예정이다.

---

#2. Live passive crawl

1-1. Live passive crawl 이란?  
한마디로 요약하자면, 웹 페이지를 크롤링한 정보를 보여주는 기능이다. 실시간으로 HTTP 메시지를 분석하고 Target - Site map 에 등록해주는 역할을 한다. 기본적으로 Proxy 설정이 되어 있다면 아래와 같은 Tasks로 이미 등록되어 있다.

 

2-2. Live passive crawl 옵션
Dashboard의 New live task 또는 기본 Live passive crawl from proxy의 설정 메뉴(톱니바퀴 모양)을 클릭해보면 여러(?) 설정 메뉴를 볼 수 있다. 적용할 대상을 설정할 수 있는 메뉴들이며, URL Scope 이외에는 잘 변경하지 않을 것으로 보인다. 참고로 가장 아래 Deduplication 같은 경우 Live audit(유료 버전에서 사용 가능) 을 사용할 때 유용한 기능이라고 한다.

 

 

 

끝.