Showing Posts From
화이트해커
- 04 Dec, 2025
Burp Suite 라이센스 비용이 아까워서 커뮤니티 버전으로 버티는 팁
라이센스 비용이 아깝다 Burp Suite Pro는 연 $449. 한화로 약 60만원. 회사에서 쓰는 건 회사 돈이니 상관없다. 그런데 주말에 개인 버그바운티 할 때는 내 돈이다. 60만원이면 원룸 월세 절반이다. 그래서 커뮤니티 버전으로 버틴다. 벌써 2년째다. Pro 쓰는 사람들은 "돈 벌려면 투자해야지"라고 한다. 맞는 말이다. 근데 아직은 아깝다. 커뮤니티 버전도 잘 쓰면 충분하다. 불편하긴 하다. 그래도 못할 건 없다. 오늘은 그 노하우를 정리한다.Pro와 Community의 차이 Pro 버전 주요 기능:자동 스캐너 (Active Scan) Intruder의 속도 제한 해제 Extension 추가 기능들 저장/로드 기능 강화 협업 기능Community 버전 제약:Active Scan 없음 (수동으로 해야 함) Intruder 속도 느림 (쓰레드 제한) 일부 Extension 제한 프로젝트 저장 안 됨솔직히 Active Scan 없는 게 제일 아프다. Pro는 버튼 하나면 취약점 찾아준다. Community는 내가 직접 찾아야 한다. 근데 생각해보면 수동 테스트가 실력이다. 자동 스캐너만 믿으면 놓치는 것도 많다. 그렇게 스스로 위로한다.Intruder 속도 제한 우회 Community 버전 Intruder는 느리다. 진짜 느리다. 한 번에 하나씩 요청 보낸다. 1000개 페이로드면 1000번 기다린다. Pro는 쓰레드 여러 개로 빠르게 보낸다. 해결책:Python으로 직접 만든다 ffuf 같은 외부 툴 쓴다 Turbo Intruder Extension 쓴다나는 Python을 주로 쓴다. import requests for payload in payloads: response = requests.post(url, data=payload)이런 식으로 간단하게 만든다. 멀티쓰레딩 추가하면 Pro보다 빠르다. ffuf도 좋다. 디렉토리 부르트포싱할 때 쓴다. ffuf -u https://target.com/FUZZ -w wordlist.txt속도는 ffuf가 제일 빠르다. Turbo Intruder는 Burp 안에서 쓸 수 있다. Python 스크립트 기반이다. 속도 제한 없다. 세 가지 다 익혀두면 Intruder 없어도 산다. Repeater가 진짜 핵심 Community 버전에서 가장 많이 쓰는 건 Repeater다. 요청 수정해서 다시 보내고, 응답 확인하고, 또 수정하고. SQL Injection 찾을 때:' OR '1'='1 넣어보고 admin' -- 시도하고 UNION SELECT 테스트하고XSS 찾을 때:<script>alert(1)</script> <img src=x onerror=alert(1)> javascript:alert(1)수동이지만 정확하다. 오탐이 없다. 자동 스캐너는 False Positive 많다. 일일이 확인해야 한다. Repeater는 내가 보낸 요청, 내가 본 응답이다. 확실하다.Extension 활용 Community에서도 쓸 수 있는 Extension이 많다. 내가 자주 쓰는 것:Logger++: 모든 요청 로깅 Autorize: 권한 테스트 자동화 Param Miner: 숨겨진 파라미터 찾기 Turbo Intruder: 속도 제한 우회 JS Link Finder: JS 파일에서 엔드포인트 추출Logger++는 필수다. Community는 프로젝트 저장이 안 되니까 로그라도 남겨야 한다. Autorize는 권한 테스트할 때 편하다. 일반 유저로 로그인해서 어드민 API 호출하는 걸 자동으로 해준다. JS Link Finder는 숨겨진 엔드포인트 찾을 때 좋다. React, Vue 같은 SPA는 API 주소가 JS에 다 있다. Extension만 잘 써도 Pro 부럽지 않다. 수동 테스트 체크리스트 자동 스캐너 없으니 체크리스트가 중요하다. 내 체크리스트: 인증/인가:토큰 없이 API 호출 가능한지 다른 유저 ID로 권한 탈취 가능한지 JWT 토큰 검증 제대로 하는지입력값 검증:SQL Injection (싱글쿼트 테스트) XSS (스크립트 태그 삽입) IDOR (숫자 ID 바꿔보기) Path Traversal (../../etc/passwd)비즈니스 로직:가격 조작 가능한지 수량 음수로 바꿔지는지 쿠폰 중복 사용 가능한지정보 노출:에러 메시지에 스택 트레이스 있는지 API 응답에 민감정보 있는지 주석에 비밀번호 있는지하나씩 체크하면서 Repeater로 테스트한다. 시간 걸린다. 근데 확실하다. 다른 툴과 병행 Burp만 쓰면 한계가 있다. 같이 쓰는 툴들: Nmap: 포트 스캔, 서비스 버전 확인 ffuf: 디렉토리/파일 브루트포싱 sqlmap: SQL Injection 자동화 nuclei: 알려진 취약점 스캔 httpx: 대량 URL 상태 확인 이것들 다 무료다. nuclei는 특히 좋다. YAML 템플릿으로 취약점 스캔한다. CVE 나오면 바로 템플릿 업데이트된다. nuclei -u https://target.com -t cves/이것만 해도 최신 취약점 찾을 수 있다. Burp는 프록시+Repeater로 쓰고, 나머지는 외부 툴로 보완한다. 실제 버그바운티 사례 지난달 버그바운티에서 $500 받았다. Community 버전으로만 찾았다. 타겟: 국내 이커머스 플랫폼 발견 과정:Burp Proxy로 트래픽 캡처 주문 API 발견: POST /api/order Repeater로 요청 확인 price 파라미터를 음수로 변경 요청 보냈더니 성공 주문하면서 돈 받는 버그리포트 제출하고 2주 뒤 $500 받았. 자동 스캐너 안 써도 찾을 수 있다. 로직 버그는 수동이 더 낫다. Pro 사야 하는 경우 솔직히 Pro가 필요한 경우도 있다. 대량 타겟 테스트: 스타트업 100개 테스트해야 하면 자동 스캐너 필요하다. 협업: 팀으로 일하면 프로젝트 공유 기능이 편하다. 시간이 돈: 시간당 수익이 높으면 자동화가 이득이다. 회사 돈: 회사 프로젝트면 당연히 Pro 써야 한다. 근데 개인 버그바운티, 공부 목적이면 Community로 충분하다. 실력 늘리기엔 수동이 더 좋다. 왜 취약점이 생기는지 이해하게 된다. 돈 모으는 중 올해 목표는 버그바운티로 1000만원 벌기다. 지금까지 300만원 정도 벌었다. 7개월 남았다. 1000만원 모으면 Pro 살 거다. 그래도 600만원 남는다. 그때까지는 Community로 버틴다. 불편하지만 불가능하진 않다. 오히려 제약이 실력을 키운다고 생각한다. 없으니까 더 머리 쓴다. Python 스크립트도 늘고, 체크리스트도 정교해진다. Pro 사는 날이 목표다. 근데 그 전까지의 과정도 배움이다. 커뮤니티의 힘 Burp Community Edition 유저들 커뮤니티가 있다. Reddit, Discord, 블로그에서 팁 공유한다. "이 Extension 좋더라", "이렇게 우회하더라" 같은 정보들. 혼자 쓰는 것보다 훨씬 강력하다. Pro 유저들은 돈으로 해결한다. Community 유저들은 지식으로 해결한다. 어떻게 보면 더 멋있다.Community 버전, 제약이지만 제한은 아니다. 방법은 항상 있다.