Burp Suite (버프 스위트) session hijacking (세션 하이잭킹) 컴부리 이야기

세션을 알아내면 소위 말해서 인증없이 바로 사용자가 인증한 것과 같은 방식으로 웹 사이트를 사용할 수 있다.
그러나 문제는 쿠키에 들어 있는 세션값을 알아낸다고 하더라도 매번 그 세션값을 계속 사용할 수 없다는 것이다.

예를 들어 naver.com에 로그인한 이후에 관련 쿠키를 잘 저장하고 있다가
브라우져를 완전히 종료한 이후에 새로운 브라우져를 실행시키면
기존에 저장해두었던 쿠키를 사용하기 매우 어렵다.
(물론 새롭게 열린 브라우져에서 naver.com 에 접속해서 새롭게 받은 쿠키가 어떤 것인지 알아내서
그 쿠키 속에 세션값을 덮어쓰기 하면 되긴 하지만...엄청 짜증나는 일이다)

따라서 이런 경우에는 무료툴인 Burp Suite를 사용해서 처리하면 된다.

먼저 로그인 쿠키(세션ID)를 확인한 후에 른 곳에서 계속 나중에 써먹으려면

Burp Suite 프로그램 실행 후 Project options 탭 -> Sessions 탭 에서
Session Handling Rules 에서 Add 버튼
새로운 창(Rule Description) 나오면 Rule Actions에서 Add -> Set a specific cookie or parameter value 한 후에
Cookie에서 세션ID에 해당하는 값을 다음과 같이 넣어줌

예) PHPSESSID=22d234d52b4934e97516e30a0247adba 라고 한다면
Name에 PHPSESSID
Value에 22d234d52b4934e97516e30a0247adba

그리고 나서 Scope 탭으로 가서 Tools Scope에서 꼭 Proxy를 선택한다.
URL Scope 에서는 해당 사이트 주소로 한정해야 한다.

이렇게 하면 옛날에 알아낸 쿠키 값으로 새로운 접속에 사용할 수 있다.

물론 Burp Suite 사용법은 비교적 간단하니 유투브에서 기본 사용법을 찾아보기 바란다.

덧글

댓글 입력 영역