스파이더 애플리케이션

스파이더는 웹 크롤러와 같은 의미로, 웹 페이지에 포함된 링크를 자동으로 탐색하는 작은 프로그램을 의미한다. 웹 애플리케이션 모의 침투에서 가장 먼저 할 일은 대상 호스트에 스파이더를 사용하는 것이다. 스파이더를 사용하는 Burp는 대상 웹 사이트 전체를 크롤링해서 모든 파일과 폼, HTTP 메서드 등을 캡처한다. 스파이더를 사용하면 어디에서 어떤 링크를 연결했는지, 애플리케이션에서 어떤 종류의 파라미터를 사용했는지, 어떤 외부 사이트와 연결했는지, 애플리케이션이 전반적으로 어떻게 작동하는지 등을 알 수 있다.

스파이더를 사용하려면 Target > Site map 탭에서 스파이더를 사용할 URL을 마우스 오른쪽 버튼으로 클릭한 후 [Spider this host] 메뉴를 선택한다.

▲ 그림 2-40 대상 호스트에 스파이더 실행

 

스파이더가 일을 마친 후 Burp의 로그를 보면, 해당 호스트의 애플리케이션이 어떤 식으로 구성되어 있는지 대략적으로 파악할 수 있다. 그림 2-41과 같이 왼쪽에는 발견된 파일과 폴더가 나열되어 있는데, 그중 하나를 클릭하면 오른쪽에서 어떤 요청과 응답이 오고갔는지 조회할 수 있다. Site map 탭 바로 아래쪽에는 [Filter] 버튼이 있는데, 여러 번 실습하다 보면 정확히 어떤 필터링을 의미하는지 알 수 있다. 도메인을 변수 영역에 추가한 후 필터링을 사용해 변수 영역에 없는 도메인을 걸러 내면 불필요한 정보를 말끔히 제거할 수 있다.

▲ 그림 2-41 웹 사이트 맵•요청과 응답