버프 스위트 Session ID Entropy Calculator Extension 사용 방법
얼마 전 Python을 이용하여 Session ID Entropy Calculator를 만들었다.
[Python] 파이썬 Session ID Entropy Calculator(세션 ID 엔트로피 계산기) 만들기
Session ID Entropy Calculator 얼마 전 OWASP Cheat Sheet Session Management 항목을 읽다가 Session ID의 값에 대한 Entropy(엔트로피)에 대해서 128 Bits 이상이어야 안전하다고 내용을 확인할 수 있었다...
happylie.tistory.com
개인적으로는 해당 Tool을 잘 사용하고 있었다.
그러나 자주 사용하다 보니 Proxy 애플리케이션인 Burp Suite에서 확인한 Session ID를 계속 복사하여 Python으로 실행을 해야 하는 번거로움이 발생하였다.
그래서 Burp Suite에서 바로 사용이 가능한 Burp Extension을 만들어 사용하면 조금이나마 번거로움을 줄여 줄 수 있을 것이라 생각이 들어 간단히 만들어 보았다.
그럼 만든 Burp Extension을 사용하는 방법에 대해서 알아보도록 하자.
![[Burp Suite] 버프 스위트 Session ID Entropy Calculator Extension 사용 방법](https://blog.kakaocdn.net/dn/REaaV/btrLJXEBr7g/bsxb7wzfQsUtV7vWG6nKT0/img.png)
1. 설치 방법
우선적으로 Burp Suite Community Edition / Burp Suite Professional 둘 중 어느 것을 사용해도 해당 Extension은 사용 가능하다.
그럼 Burp Suite는 설치가 되었다는 가정 하여 해당 Extension을 설치하는 방법에 대해서 알아보도록 하자.
먼저 Burp Suite는 Java로 작성된 애플리케이션이기 때문에 Extension 개발도 Java로 구현해야 한다.
다만 Ruby 혹은 Python의 경우는 Java로 포팅이 가능한 Jruby, Jython을 이용하여 개발도 가능하다.
기존에 작성하여 사용한 코드가 파이썬 코드임에 따라서 Jython을 이용하여 Extension을 사용 가능하도록 설정해주어야 한다.
1.1 Jython 다운로드 및 설정
현재 Jython은 2.7.2가 최신 버전이며 아래 주소를 통해서 다운로드 가능하다.
Burp Suite에서만 사용을 하고자 한다면 "Jython Standalone"을 다운로드 하자.
Downloads
The Python runtime on the JVM
www.jython.org
정상적으로 다운로드하면 "jython-standalone-2.7.2.jar" 파일을 확인할 수 있다.
이제 해당 파일을 Burp Suite에서 "Extener > Options > Python Environment > Select file" 클릭 후 선택하도록 하자.
1.2 CSId Calc Extension 다운로드 및 설정
이제 만들어놓은 CSId Calc Extension을 다운로드하도록 하자.
GitHub - happylie/Burp-CSId-Calc: Burpsuite Extension to Session ID Entropy Calculator
Burpsuite Extension to Session ID Entropy Calculator - GitHub - happylie/Burp-CSId-Calc: Burpsuite Extension to Session ID Entropy Calculator
github.com
Github에 이미 올려놓았으며 Clone 혹은 Releases를 통해서 다운로드하도록 하자.
다운로드하면 "burp_csid.py" 파일이 존재한다.
이제 해당 파일을 Burp Suite에서 "Extener > Extensions > Add > Extension type : Python > Select file" 클릭 후 선택하도록 하자.
선택 후 Next를 클릭 후 정상적으로 설치가 된다면 아래와 같이 Output에 "CSId Calc Extension Loaded!!"라는 메시지를 확인할 수 있다.
이제 Extension은 정상적으로 설치가 완료되었다.
2. 사용 방법
이제 정상적으로 설치하였으니 사용하는 방법에 대해서 알아보도록 하자.
메뉴에 "CSId Calc" Tab을 클릭하면 Session ID를 입력하는 InputBox가 나온다.
해당 InputBox에 계산할 Session ID를 입력 후 Calc 버튼을 누르면 해당 Session ID에 대해서 계산하여 아래와 같이 결과값을 출력한다.
Clear 버튼은 지금까지 나온 결과값들에 대해서 모두 일괄 삭제한다.
사용 방법은 무척 간단하며, 아래 동영상을 보면 좀 더 쉽게 사용 방법에 대해서 알 수 있다.
이제 설치 및 사용 방법에 대해서 다 알아보았다.
해당 Extension은 좀 더 편리하게 사용하기 위해서 추가 개발 진행중에 있다.
개발이 완료 되면 추가로 들어간 기능에 대해서 업데이트 하도록 하겠다.
또한 해당 Extension에 문제가 있거나 아니면 추가할 기능이 필요하다면 Github Issues에 등록해 주거나 댓글로 남겨주면 확인 후 진행 할 수 있도록 하겠다.
GitHub - happylie/Burp-CSId-Calc: Burpsuite Extension to Session ID Entropy Calculator
Burpsuite Extension to Session ID Entropy Calculator - GitHub - happylie/Burp-CSId-Calc: Burpsuite Extension to Session ID Entropy Calculator
github.com
🌵댓글