Bugbounty Boot Camp Chap.4 ENVIRONMENTAL SET UP AND TRAFFIC INTERCEPTION

A Browser and a Proxy

프록시는 클라이언트와 서버 사이에 위치한 소프트웨어임

브라우저랑 웹 서버 사이에 위치하여 상호간 요청 및 응답을 가로채는 역할을 함

 

책에선 위의 패킷을 예시로 들었는데 이런 경우 burp suite 혹은 ZAP과 같은 웹 프록시 프로그램을 사용하여

쿠키의 user_id를 수정하는 시도를 해볼 수 있음

ex) Cookie : user_id=admin

 

다양한 기능들

• intruder - 요청 자동화 기능 
  • 3장에서 짧게 나왔던 브루트포스(무차별 대입)용으로도 사용 가능
• repeater - 요청을 수정하고 그에 따른 응답을 반복적으로 볼 수 있는 기능
  • 동일한 엔드포인트에 여러 시도를 함으로써 취약점이 존재하는지 확인할 때 사용
• decoder - 요청 및 응답을 해석하는 기능
  • 데이터 인코딩 및 디코딩을 통해 간편하게 요구 조건을 맞출 수 있음
• comparer - 요청 및 응답을 비교해서 차이점을 나타내는 기능

intruder

repeater

decoder

 

comparer

간단하게 프록시 설정하기 

open browser 클릭 후 interceop is off를 클릭해서 가로챌 수 있음

 

response 보기 설정

proxy - proxy settings 클릭

조금 내려서 Response interception rules에 체크하기

 

아래는 한국어 깨짐 해결방법

settings 클릭

user interface에서 inspector and message editor 클릭 -> HTTP message display에서 change font 클릭 후 한글이 적혀있는 거로 변경 바탕체 14p 추천...