Skip to main content

웹 보안 테스팅 필수 도구

웹 해킹의 기본은 좋은 도구를 아는 것입니다. CTF든 실전 버그바운티든, 이 도구들은 필수입니다.

��록시 툴

Burp Suite

웹 해킹의 스위스 아미 나이프. 모든 웹 트래픽을 가로채고 수정할 수 있습니다.

핵심 기능:

  • Proxy - HTTP/S 트래픽 가로채기
  • Repeater - 요청 반복 전송
  • Intruder - 자동화 공격 (Fuzzing)
  • Scanner - 취약점 자동 스캔 (Pro)

기본 워크플로우:

  1. 브라우저 프록시 설정 (127.0.0.1:8080)
  2. Burp에서 CA 인증서 설치
  3. 트래��� 캡처 ��작
  4. 타겟 사이트 탐색
  5. 흥미로운 요청을 Repeater로 전송
  6. 파라미터 조작 후 재전송

무료 vs Pro: 무료 버전으로도 충분히 시작 가능. Scanner와 Intruder 속도 제한만 있습니다.

OWASP ZAP

오픈소스 ��안. Burp와 ��슷하지만 완전 무료입니다.

장점:

  • 무료 자동 스캐너
  • Python 스크립팅 지원
  • 활발한 커뮤니티

단점:

  • UI가 다��� 투박
  • Burp보다 느린 워크플로우

스캐닝 & 정찰

Nmap

네트워크 스캐너의 전설. 포트와 서비스를 찾아냅��다.

# 기본 스캔
nmap target.com

# 서비스 버전 탐지
nmap -sV target.com

# 전체 포트 스캔
nmap -p- target.com

# OS 탐지 + 스크립트
nmap -A target.com

Nikto

웹 서버 취약점 스캐��. 빠르게 일반적인 이슈를 찾습니다.

nikto -h https://target.com

Gobuster / ffuf

디렉토리 브루트포싱. 숨겨진 엔드포인트를 찾습니다.

# Gobuster
gobuster dir -u https://target.com -w wordlist.txt

# ffuf (더 빠름)
ffuf -u https://target.com/FUZZ -w wordlist.txt

익스플로잇 도구

SQLMap

SQL Injection 자동화의 끝판왕.

# 기본 테스트
sqlmap -u "https://target.com/page?id=1"

# 데이터베이스 덤프
sqlmap -u "URL" --dbs

# 특정 테이블 추출
sqlmap -u "URL" -D dbname --tables

주의: 실전에서는 WAF 우회 옵션이 필요할 수 있습니다.

XSStrike

XSS 취약�� 탐지 및 익스플로잇.

xsstrike -u "https://target.com/search?q=test"

Commix

Command Injection 자동화 ��구.

유틸리티

CyberChef

브라우저 기반 데이터 변환 도구. 인코딩, 디코딩, 암호화 등 모든 ��.

사용 예��:

  • Base64 디코딩
  • JWT 파싱
  • 해시 크래킹
  • XOR 브루트포스

URL: https://gchq.github.io/CyberChef/

jq

JSON 파싱의 신. API 응답 분석에 필수.

curl https://api.target.com/users | jq '.[] | select(.role=="admin")'

curl / httpie

CLI HTTP 클라이언트. 빠른 테스���에 유용.

# curl
curl -X POST https://target.com/api -d '{"key":"value"}'

# httpie (더 예쁨)
http POST target.com/api key=value

CTF 특화 도구

pwntools (Python)

바이너리 익스플로잇용. 웹에서도 유용합니다.

from pwn import *

# 원격 연결
r = remote('target.com', 1337)
r.recvuntil('> ')
r.sendline('payload')

Requests (Python)

웹 자동화의 기본.

import requests

s = requests.Session()
r = s.post('https://target.com/login', 
           data={'user':'admin', 'pass':'test'})

학습 경로

  1. 1주차: Burp Suite 마스터 - 모든 기능 실습
  2. 2주차: 스캐닝 도구 숙달 - Nmap, Nikto, ffuf
  3. 3주차: 익스플로잇 자동화 - SQLMap, XSStrike
  4. 4주차: 스크립팅 - Python + requests + pwntools

실전 팁

조합이 핵심입니���:

  • Nmap으로 ��트 스캔 → 웹 서버 발견
  • ffuf로 디렉토리 탐색 → 숨겨진 API 발견
  • Burp로 요청 분석 → SQL injection 발견
  • SQLMap으로 자동화 → 데이터 추출

수동 > 자동: 자동화 도구는 출발점일 뿐���니다. 진짜 실력은 수동 분석에서 나옵니다.

법적 주의: 자신의 시스템���나 명시적 허가를 받은 타겟만 테스트하세요. CTF 플랫폼 (HackTheBox, TryHackMe)에서 연습하는 것을 권장합니다.

도구는 수단일 뿐, 이해가 목적입니다.