2.5.1 웹 스캐닝 과정

여기서는 네트워크 모의 침투를 수행하는 동안 Burp Suite Pro를 사용하여 웹 페이지를 스캔하는 방식을 알아본다. 필자의 경험으로는 보통 네트워크 모의 침투를 수행하면서 웹 애플리케이션 전체를 완전히 분석할 만한 시간은 없었다. 따라서 규모가 큰 애플리케이션을 분석할 때는 다음 과정을 따른다.

1. Burp Suite Pro를 사용하여 스파이더나 스캔을 실행한다.

2. 웹 애플리케이션 스캐너를 실행한다.

3. 수동으로 파라미터를 인젝션한다.

4. 세션 토큰을 분석한다.