음.. 개인적인 분석 환경을 이야기하자면

회사에선 Burp pro + ZAP 개인으론 ZAP + Burp CE

였습니다.

물론 burp pro~ent가 좋다는건 알고 있었으나 최근 burp 2.0 이후부터 그 갭 차이가 좀 많이 커진다는 느낌을 받았습니다. (개인적으론 ZAP의 Deamon화 추친하는 방향이 장점도 있겠지만, 부정적인 부분도 좀 컸습니다. 예를들면.. CSP등을 무조건 바이패스 시켜야한다는 둥..)

아무튼 고심끝에 그냥 집에서 쓸 개인용으로 Burp pro를 구매했고 구매 과정중 주의사항이 있어서 글로 남겨둡니다.

yes! i like burp pro!

tl;dr

1) 웹 사이트 접속 및 구매하기 2) 정보기입(아래 내용 참고) 3) 결제(카드결제 or 페이팔) 4) 기다리면 라이선스 관련 메일 옴, 키 및 프로버전 다운로드는 홈페이지에서 로그인 후 가능함

구매 관련 환경?

1. Professional vs Enterprise

둘 중 누가 상위라고 하긴 어렵습니다. 용도가 다르기 때문인데, 표 보는게 제일 깔끔합니다. 프로페셔널은 분석쪽에 치중된, 엔터프라이즈는 자동화나 시스템 연동성이 고려된 버전으로 보시면 좋습니다.

2. reseller? direct?

구매 방법에는 2가지가 있습니다. 리셀러를 이용한 방식과 직접 구매하는 방식이 있는데요, 리셀러를 이용하는 경우 즉 대행업체를 통해서 진행하기 때문에 커뮤니케이션이 쉽다(한글이다?) 정도가 있고 직접 구매하는 경우엔 담당자와 영어 커뮤니케이션이 필요한 경우가 있긴합니다.

결과적으론 가격선에서도 굳이 차이가 나지 않는 것 같고 그냥 비교해보시면서 하시는게 좋을듯 싶습니다. 저는 직접 구매했어요.

Step by Step

1. portswigger 홈페이지 접속

https://portswigger.net/buy/pro

2. 내용 입력

Name: 이름
Company / Organization: 회사
Email address: 메일주소
Country: 국가: Korea, Republic of
License options: 1~3년
Currency: 통화(US)
Number of users: 라이선스 갯수

Name on license: individual(개인)
Postal address: 주소
Telephone: 전화번호
VAT number: 등록되 있으면 키, 안써도됨
Your order reference: 어디서 구매하게 되었는지, 안써도됨

정도 (위에 이미지)

3. 결제(카드 or 페이팔)

혹시모르니 구매번호 같은건 따로 외워두거나 기입해두시는게 좋을듯해요.

4. 승인 기다리기

구매 완료되면 메일로 내용을 공유준다고 합니다.

다만 안내에선 24시간이 지나도 못받을 시 연락을 달라곤 되어있으나 조금 기다리고 바로 안온다면 메일 한통 날려봅시다. 서포트쪽은 서비스지원 부분이라서 라이선스 부서에 직접 문의하는게 편합니다.

office@portswigger.net

주소이고, 대다수 support 문의를 보면 라이선스 관련은 아래 주소로 포워딩 시킵니다.

주의사항

사실 저도 구매하고 바로 라이센스가 도착하지 않아서 portswigger쪽 담당자랑 이야기를 나웠었습니다. 요약하자면.. 제가 메일을 gmail을 쓰는데 이게 일부 메일 서비스는 직접 검토하고 발행하는 과정을 거치는 것 같습니다. (아무래도 악용하려는 사용자도 많을테니..)

아무튼간에 이로인해서 개인을 증명해야하는 일이 발생했고, 저는 간단히 회사 메일을 이용해서 증명했습니다. (아마 gmail 이외에 다른 메일이면 어느정도 가능한 것 같습니다. 이건 직접 담당자랑 이야기해보면서 처리하시는게 좋을듯합니다.)

다만 gmail을 사용하는게 고질적인 문제가 되는지는 다시 물어본 상태인데, 회신 받으면 댓글로 내용 추가해두겠습니다.

Conclusion

Burp pro는 솔직히 진짜 좋은 도구는 맞습니다. 회사 이외에 개인적으로도 버그바운티나 분석을 하신다면 그냥.. 하나 사시는것도 추천드립니다. (돈 값어치는 합니다)

https://i.giphy.com/ckeHl52mNtoq87veET.gif