Kali 에서 Burp Suite 테스트

Kali 에서 Burp Suite 테스트하는 기본 흐름은 “프록시 설정 → 브라우저 연결 → 트래픽 가로채기 → 분석/변조” 순서입니다. 실무 기준으로 바로 쓸 수 있게 정리해줄게요.

---

1️⃣ Burp Suite 실행

 

 

 

 

 

 

 

 

 

 

 

 

 

burpsuite

 

• Community / Professional 선택 → Start
• 기본 프록시: 127.0.0.1:8080

---

2️⃣ 브라우저 프록시 설정

방법 A (추천: Burp 내장 브라우저)

• Burp → Proxy → Open Browser
• 자동 설정됨 (가장 편함)

방법 B (외부 브라우저)

예: Firefox

설정:

Settings → Network Settings → Manual Proxy
HTTP Proxy: 127.0.0.1
Port: 8080

 

---

3️⃣ HTTPS 인증서 설정 (중요)

HTTPS 사이트 테스트하려면 필수:

1. 브라우저에서 접속
   
   
2.  

http://burp

 

CA Cetificate 클릭하면 인증서를 다운로드 가능

1. 인증서 다운로드 → 브라우저에 설치

   

 

Firefox 기준:

• Settings → Privacy & Security → Certificates → Import
• “신뢰할 수 있는 CA” 체크

---

4️⃣ 요청 가로채기 (Intercept)

Burp:

Proxy → Intercept → ON

 

이제 웹 요청을 보내면:

• 요청이 Burp에서 멈춤
• 수정 가능 (파라미터, 헤더 등)

---

5️⃣ 주요 테스트 기능

✔ Repeater (수동 공격)

• 요청 우클릭 → Send to Repeater
• 파라미터 직접 수정 후 반복 요청

👉 예:

• ID 값 변경
• 인증 토큰 변조

---

 

✔ Intruder (자동 공격)

• Send to Intruder
• Payload 설정 (숫자, 단어 리스트 등)

👉 예:

• 로그인 brute force
• 파라미터 fuzzing

---

✔ Scanner (Pro만)

• 자동 취약점 스캔

---

6️⃣ 실전 테스트 예시

로그인 우회 테스트

1. 로그인 요청 캡처
2. Repeater로 전송
3. 값 변경:

username=admin
password=1234
→ SQL Injection 테스트

 

---

XSS 테스트

<script>alert(1)</script>

 

입력 후 응답 확인

---

파라미터 변조

price=100 → 1
role=user → admin

 

---

7️⃣ 자주 막히는 문제

❌ 사이트 접속 안됨

• 프록시 설정 확인
• Intercept OFF 확인

❌ HTTPS 깨짐

• 인증서 설치 안됨

❌ 로그인 유지 안됨

• Cookie 확인 (Session ID)

---

8️⃣ Kali에서 같이 쓰면 좋은 툴

• OWASP ZAP (대안)
• sqlmap (자동 SQLi)
• Nikto (서버 취약점)

---

⚠️ 중요 (실무 기준)

• 본인 시스템 or 허가 받은 서버만 테스트
• 무단 테스트 = 불법