Burp Suite Option(3)

Reapeater

• 개별 HTTP 요청을 변경 및 재발급하여 어플리케이션의 응답을 분석할 수 있다.
• 요청을 수정하여 계속 발행할 수 있어 매개 변수값을 변경하거나 발행 순서를 변경하여 요청함으로써, 입력 값에 의한 취약점 발생을 테스트하는 데 사용할 수 있다.
• Send to Reapeater을 클릭하면 세부 사항이 간단히 설정되어 쉽게 사용할 수 있다.
• 요청을 보낼 준비가 되면 Send를 클릭하여 서버로 요청 값을 전송하고, 서버로부터 받은 응답은 Response를 통해 볼 수 있다.

Collaborator

• 이건 Professional 버전에서만 쓸 수 있다.

Sequencer

• 웹 애플리케이션에서 제공하는 값의 임의성을 분석하기 위한 기능이다.
• 세션 토큰, CSRF 방지 토큰, 암호 재설정 토큰 등과 같이 랜덤한 중요한 데이터를 테스트할 수 있다.

Live capture

• 타겟 웹 애플리케이션에서 생성되는 토큰을 캡처하여, 샘플 토큰 목록을 생성하고 분석하여 결과를 출력한다. 분석을 원하는 패킷에 Send to Sequender를 하면 Select Live Capture Request 항목에 추가된다.
• Token Location Within Response는 애플리케이션의 응답 내에서 토큰이 나타나는 위치를 선택할 수 있다.

Manual load

• 이미 생성된 토큰 샘플을 불러와 샘플에 대한 통계 분석을 수행할 수 있다.

Sequencer settings

• 토큰에 대한 처리 방법과 분석하는 동안 테스트 유형을 설정할 수 있다.
• Token Handling은 분석 중 토큰 처리 방법을 제어할 수 있다.

Decoder

• 데이터 암/복호화 및 해시 형식으로 변환할 수 있는 기능이다.
• 휴리스틱 알고리즘을 사용하고 있어 여러 암호화 형식을 지능적으로 인식할 수 있다.
• Send to Decoder으로 이용하는 것도 가능하다.

Comparer

• 두 데이터 간의 비교를 수행하므로 다른 입력에 대한 응답을 비교하는 데 유용하게 사용할 수 있다.
• 비교하고자 하는 값을 복사+붙여넣기 하거나, 파일을 로드하거나, Send to Comparer으로 Comparer에 값을 전송하여 데이터를 로드할 수 있다.
• 비교할 두 가지 데이터가 선택되면, Word, Bytes 중 하나의 비교 형식을 선택하여 비교할 수 있다.

Logger

• 모든 HTTP 요청 및 응답을 기록하는 도구입니다. Logger는 Burp Suite의 다른 기능과 함께 사용되어 웹 응용 프로그램에서 발생하는 모든 활동을 기록하고 분석할 수 있습니다.

Extensions

Installed

• 설치된 모든 확장 기능을 확인할 수 있으며, 추가, 제거, 재정렬할 수 있다.
• Detail탭에서 해당 확장 기능 정보를 확인할 수 있고 Extension loaded를 체크하면 확장을 활성화할지 비활성화할지 선택할 수 있다.
• Output탭에서 확장 기능의 표준 출력 스트림 세부 사항을 확인할 수 있다.
• Errors탭에서 표준 오류 스트림 정보를 확인할 수 있다.

BApp Store

• Burp Suite 사용자가 작성한 Burp 확장 기능이 있다.
• 사용 가능한 BApps를 확인하여 설치할 수 있다.

APIs

• Burp 확장 기능을 개발하는 데 사용할 수 있는 API에 대한 세부 정보를 확인할 수 있다. 실행 중인 Burp 버전에서 사용할 수 있는 API 정보가 표시되어 있다.
• Save interface files 및 Save Javadoc files는 확장 기능을 개발할 때 사용할 수 있도록 코드를 로컬 사본으로 저장하는 기능이다.

Extensions settings

• 확장 설정, Java 환경, Python 환경, Ruby 환경에 대한 설정 옵션이 있다.
• Startup behavior: 시작 시 확장을 어떻게 처리할 것인지 설정
• Java environment: Java로 작성된 확장 기능 실행을 위한 환경 구성 설정
• 확장 프로그램에서 라이브러리를 사용하는 경우 라이브러리를 로드할 폴더를 지정할 수 있다.
• Python environment: Python으로 작성된 확장 기능 실행을 위한 환경 구성 설정
• Python 확장 기능을 사용하려면 Jython*을 다운받고 경로를 설정해야 한다.
• Ruby environment: Ruby로 작성된 확장 기능 실행을 위한 환경 구성 설정
• Ruby 확장 기능을 사용하려면 JRuby*를 다운받고 경로를 설정해야 한다.