웹 취약점 점검 실습에서 Burp Suite를 어떻게 활용했는지 전달한다
보안 수업 실습에서 Burp Suite로 웹 애플리케이션 취약점 점검을 처음 해보았습니다. 프록시 기능으로 브라우저 트래픽을 가로채서 요청과 응답을 분석하는 과정이었습니다.
실습 타겟은 DVWA(Damn Vulnerable Web Application)였고, Burp의 Intruder로 로그인 폼 무차별 대입 시뮬레이션을 진행하였습니다. 페이로드 목록에 흔한 패스워드 500개를 넣고 응답 길이 차이로 성공 여부를 구별하는 방식이었습니다. 처음에는 Intruder 속도 제한 설정을 몰라서 요청이 너무 빨리 나가 서버가 응답을 못 받는 문제가 발생하였고, 스레드와 딜레이 설정을 조정한 후에야 안정적으로 진행할 수 있었습니다. 두 번째 실습에서는 Repeater로 세션 토큰 재사용 취약점을 확인하였는데, 로그아웃 후에도 이전 토큰이 유효한 경우를 실제로 발견한 것이 인상 깊었습니다.
도구를 사용하는 것보다 응답에서 무엇을 봐야 하는지 아는 것이 더 어렵습니다. Burp는 트래픽을 보여줄 뿐이며, 그 안에서 이상 신호를 읽는 감각을 키우는 것이 실습의 진짜 목표라고 생각합니다.