버프스위트(Burp Suite)_Spider

-Burp Sutie 사용법-

 

Spider

 

버프스위트의 Spider는 웹 페이지의 데이터를 추출하는 크롤링 이라고 생각하면 된다.

Spider를 사용할때는 꼭 검증된 테스트 페이지를 대상으로 테스트를 해야하고, 정상적인 웹페이지에서 테스트를 할경우 간혹 오작동을 시킬수 있는 일이 발생을 하기 때문에 꼭 이점 유의해야 한다.

 

취약점 테스트는 제 블로그 주소인 http://itinformation.tistory.com 으로 테스트 진행한다.

 

 

 

- [Target] > [Site Map] 메뉴에서 Spider 기능을 사용하고 싶은 URL에 대해서 "Spider this host" 메뉴를 사용하여 보낸다

 

 

Spider 기능이 활성화 되면, Requests mada, Bytes Transferred, Request queued, Froms 이 활성화되며 카운트가 증가한다.

 

Spider is running 버튼을 클릭하여 중지시킬 수 있다.

 

 

Spider에 결과는 처음 Site map에서 확인이 가능하며, 실행 전에는 Site map에 각 페이지가 회색으로 표시되어 있었던 반면에 실행 후에는 모두 검은색으로 변경되어 있다. 방문하지 않은 페이지는 회색으로 표시되고 방문했던 페이지는 검은색으로 표시가 된다.

 

 

 

1. Crawler Settings

- 웹 콘텐츠를 크롤링하는 방법을 제어한다. 대상 사이트에 robots.txt가 있는지, 에러페이지를 감지 할지, 텍스트가 아닌 콘텐츠는 허용할지 등의 옵션을 지정할 수 있다.

2. Passive Spidering

-  이 옵션을 체크하면 추가 요청 없이 방문하는 사이트의 기본적인 구조를 확인할 수 있고, 방문하는 페이지의 모든 링크를 표시한다. 이 옵션이 체크가 안되어 있다면 사용자가 현재 방문하여 요청한 페이지만 확인할 수 있다.

3. From Submission

- Submit Form 창이 나올 경우 어떻게 처리할 것인지 옵션을 설정할수 있는 부분입니다.

4. Application Login

- Spider 중에 로그인 폼을 발견하면 어떻게 처리할 것인지 옵셕을 지정할수 있는 부분입니다.

5. Spider Engine

- 크롤링 작업을 수항할 때 만들어지는 HTTP 요청을 제어하는 옵션입니다. 예를 들어 네트워크 실패시 재시도 획수, 요청 실패시 대기 시간 등을 설정 할수 있는 옵션 입니다. 과도한 설정은 대상 서버에 영향을 줄수 있으니 주의하시기 바랍니다.

6. Request Headers

- Spider에서 HTTP 요청시 사용하는 헤더 값을 설정할 수 있습니다.