Today’s blog post is written only in Korean. This is brief information about the release notes. if you need english, just see release note or translate please.
(http://releases.portswigger.net/2019/11/professional-2105.html)

자 오늘은 Burp suite pro 2.1.05 릴리즈 내용에 대해 이야기할까 합니다.
보통 마이너 버전 업그레이드는 글로 잘 안쓰는데, Burp suite 쪽의 방향성? 을 볼 수 있는 부분이 있어서 간략하게 정리해봐요.

https://i.giphy.com/12GSQqUY9CSmJO.gif

Intro

사실 트위터에서 먼저 봤어서 대충 어떤 업데이트인지는 알고있었는데, 오늘 회사에서 일하다보니 바로 업데이트가 뜨더라구요. 나름 기대했던 기능이라 대충 써보고 집에도 업데이트 후 글 작성중이네요.



사실상 업데이트의 메인 부분인 실험적인 기능인데요.. 내용이 뭔가하면, burp suite 내 크로미움 브라우저를 내장하고 Scanning(Crawl, Audit) 시 기존 크롤러와 함께 내장 브라우저를 이용한 크롤링을 진행한다는 점입니다.

여기서 내장 브라우저를 쓰기 때문에 Vue, React 등 동적으로 페이지를 구성하는 싱글 페이지의 서비스들의 컴포넌트를 식별하고 개별 페이지로 인식시킬 수 있습니다. (이거 구현한거 자체가 대단한듯…)
아무튼 이로인해서, Burp suite의 기능 자체가 크게 향상 될 것 같은 느낌이 드네요. 아직은 초기단계라서 성능 이슈가 있다고는 하는데요, 어떻게 이 실험 기능을 사용하는지 정리해볼게요.

How to use Embedded Browser(chromium) for Navigation

2.1.05 로 업데이트 이후 Scan 쪽 config에 기능이 추가됬습니다. 기본적으론 Disalbe 되어있어서 스캔 시 별도로 활성화 후 테스트를 진행해주시면 됩니다.
먼저, New scan 으로 스캔 위자드 진입 후 Scan configure로 들어가서 설정을 추가해줍니다. 크롤링, 스캐닝에 따라 골라서 추가해주시면 되고 추가하는 과정에서 Miscellaneous 탭에 보시면 Use embedded browser for navigation



Conclusion

확실히 방향이 잡힌듯합니다. Burp suite는 분석쪽으로 강하게 초점을 맞춰서 기능을 업데이트 하는 느낌이고(아 물론 Enterpise는 또 다른 느낌이죠) ZAP은 백그라운드&API화 및 HUD 등을 이용한 진단 방식의 변화를 노려보는 것 같네요.
그나저나 Burp suite, 제발 SSL 에러좀 고쳐주세요. 모두가 희망합니다..


댓글 없음:

댓글 쓰기