Autochrome - 빠르게 보안 테스트용 웹 브라우저 환경을 구성하자!

Autochrome - 빠르게 보안 테스트용 웹 브라우저 환경을 구성하자!


트윗 보던 중 처음보는 도구가 있어서 테스트해봤고, 쓸만한 것 같아 글로 공유합니다. 오늘 소개해드릴 도구는 빠르게 테스팅용 브라우저를 구성할 수 있는 autochrome입니다.

1415

autochrome

autochrome은 ncc그룹이 만든 도구 중 크로미움 기반 테스팅 환경을 빠르게 구성해주는 도구입니다. 저를 비롯한 많은 사람들은 firefox / chrome 등 웹 브라우저에 확장 기능과 설정 변경을 통하여 테스팅 환경을 구축합니다. 다만 이 경우에 간혹 SSL 관련 이슈들이 있어서 수정하는데 조금 삽질을 하기 마련입니다. 이 도구는 이런한 점을 해결하기 위한 도구로 테스팅을 위한 환경을 한번의 command로 구성해줍니다.

Let’s go

ruby 기반의 프로젝트로 우선 clone 해줍니다.

$ git clone https://github.com/nccgroup/autochrome
$ cd autochrome

프로젝트 디렉토리 내 autochrome.rb 파일을 통해 테스팅용 chome을 구성할 수 있습니다.

$ ruby autochrome.rb

1414

명령 실행이 완료되면 시스템에 chromium이 설치됩니다. 설치된 chromium 은 ssl 설정부터 proxy 등의 세팅이 미리 진행된 브라우저고 실행 시 북마크에 BurpCA 페이지 등 미리 추가된 항목들이 있습니다.

1416

autochrome은 아래와 같은 기능들을 지원합니다.

  • Turning off all those annoying auto-updaters! (자동 업데이트 disable)
  • Sweet colored themes for high visibility! (테마 미리 지정함)
  • No XSS auditor! (XSS 관련 옵션 해제)
  • Automatic proxy configuration! (uses 127.0.0.1:8080 / Proxy 미리 세팅됨)
  • An annoying infobar because it doesn’t check TLS certs! (TLS 관련 버그 처리됨)
  • Basic integration with Burp if you install the included Burp extension (Burp 확장과 연결하여 사용 가능)

Embedded browser in BurpSuite and ZAP

ZAP 2.9버전(제작년)부터, BurpSuite는 최근 버전부터 Embedded browser를 지원하고 있습니다. 이러한 내장 브라우저들은 각각 OWASP, PortSwigger에서 미리 설정을 세팅했기 때문에 이러한 브라우저를 사용하는 것도 좋은 방법 중 하나입니다.

Conclusion

물론, 결과적으론 직접 하나하나 설정하고 사용하는 것이 개인화를 위한 가장 좋은 방법이라고 생각하지만, 불필요한 시간을 많이 절약할 수 있어서 환경 구성에 신경 쓸 시간이 없다면 이러한 도구들을 통해 쉽게 구축해 나가는 것도 괜찮은 방법이라고 생각이 듭니다 😉