BurpSuit에는 다양하고 유용한 기능들이 존재한다. 이 기능들에 대해 알아보자.
Scope
사용 도중 원하지 않는 도메인이 같이 노출되어 HTTP history가 다소 지저분하게 보이며 분석에 어려움을 주는 경우가 있다.
먼저 원하는 도메인을 선택 후 [ 마우스 우클릭 → Add to scope ] 를 선택한다.
스코프를 추가하게 되면 [ Target → Scope ] 탭에 도메인이 추가되어 있는 것을 확인할 수 있다.Edit 버튼을 눌러 편집하거나 Add 버튼을 이용해 직접 추가할 수 있다.
Scope 탭에 추가되어 있는 도메인만 HTTP history 탭에 저장되는 것을 확인할 수 있다.
Intruder
분석 진행 시 데이터를 변조하여 반복적으로 작업을 수행해야 하는 경우가 있다.
이때 자동화 스크립트를 만들거나 도구를 이용하지 않아도 Burp에서 바로 수행할 수 있다.
반복 수행할 URL을 선택 후 Send to Intruder를 선택한다.
Intruder 탭에 접근하여 먼저 자동으로 지정되어 있는 함수를 Clear 버튼을 클릭하여 제거한다.
다음 반복할 함수를 지정하기 위해 대상을 블럭지정 후 Add버튼을 클릭하여 추가한다.
[ 함수 추가 화면 ]
Payloads 탭에서 여러개의 타입을 지정할 수 있다. Number를 선택하여 테스트를 진행 한다.
Number 선택 시 위 그림과 같이 설정이 변경되며 1 부터 20까지 1씩 증가하며 진행하기 위해 값을 지정하고 Start attack 버튼을 클릭하여 진행한다.
공격을 진행하게 되면 자동으로 1씩 증가되며 20까지 진행이 완료 된 것을 확인할 수 있다.
이 외에도 simple list, random 등의 다양한 기능이 있으니 테스트하며 사용할 수 있다.