버그바운티를 위한 환경구축

안녕하세요 브루스입니다.

저번에는 버그바운티에 대한 소개를 했는데요.

 오늘은 버그바운티를 위한 환경구축과 다양한 도구들에 대한 소개를 해드리려 합니다.

차후에도 다양하고 재미있는 도구들이 나오게 된다면 소개해 드릴 예정입니다.

해당 도구들은 모두 웹모의해킹에 사용되는 도구들입니다.

1. Burp Suite

• 가장 많이 사용하는 웹 프록시 도구라고 생각됩니다. 웹 해킹을 시도하는 많은 버그헌터들이 애용하고, 칼리리눅스 백박스 등 취약점 테스트 에 기본적으로 포함되어 있습니다.
• 무료와 유료버전(349$)이 나뉘어져 있으며, 당연히 유료가 더 다양한 기능을 포함하고 있습니다.
• 다운로드 URL : https://portswigger.net/burp

2. ZAP
3. • 오픈소스 프록시 도구로 "Burp Suite”와 많이 다른 형태의 인터페이스를 가지고 있습니다.
   • 칼리리눅스 백박스 등 취약점 테스트용 OS에 기본적으로 깔려있는 것을 볼 수 있습니다.
   • 다운로드 URL :  https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
4. Wireshark
5. • 가장 대중적으로 사용하는 네트워크 패킷 분석도구(Sniffer)로 오픈소스 프로그램입니다.
   • 활용분야가 다양하고, 사용하기 쉽습니다.
   • 다운로드 
6. Web browser
7. • 웹 해킹을 하기 위해선 당연하 웹 브라우저를 이용해야 합니다.
   • 물론 서핑용 브라우저와 웹 모의해킹을 위한 브라우저로 구분 짓는 것이 좋으며, 이는 많은 플러그인(확장프로그램)을 필요로 하기 때문입니다.
   • Firefox 또는 크롬을 추천합니다.
8. Beef
9. • XSS(Cross Site Script)공격을 위한 도구.
   • 강력하고, 위험합니다...
10. Kali linux
11. • 데비안 기반의 모의해킹을 위해 만들어진 오픈소스OS로 다양한 공격툴을 가지고 있습니다.
    • 다양한 웹 해킹 도구를 볼 수 있으며, 2개의 OS를 이용하여 버그헌팅의 효율을 위함.

이 외에도 다양한 도구들이 존재합니다만 위의 도구들을 포함한 많은 프로그램들이 이미 칼리리눅스에 내장되어 있습니다.

 윈도우(또는 맥)과 칼리 리눅스를 병행하려는 이유 또한 이것 때문이고요.

참고로 칼리리눅스는 가상머신 환경 즉 VMware, VirtualBox, Parallels 등 가상화 솔루션 위에서 운용하거나 별도의 데스크탑을 활용하는 것도 좋습니다.

이 외에도 다양한 툴들이 존재하니 앞으로 다양한 툴들에 대해 연구하고, 알아본 후 차근차근히 포스팅해 나가도록 하겠습니다.