Burp Suite에서 WebSocket 캡처와 요청 조작 방법

개요

WebSocket은 지속 연결을 통해 실시간 양방향 통신을 제공한다. 웹 애플리케이션 보안 점검 시 WebSocket 트래픽을 확인하고 조작할 줄 알면 취약점 발견에 큰 도움이 된다. 이 글에서는 Burp Suite로 WebSocket 트래픽을 캡처하고, 메시지를 확인 및 수정하는 기본 흐름과 실습 예제를 설명한다.

준비 단계

필수 설정

• 브라우저 프록시를 Burp의 프록시 리스너로 설정
• Burp에서 HTTP(S) 트래픽을 정상적으로 가로채는지 확인
• HTTPS 연결을 검사할 경우 Burp 루트 인증서 설치

Burp 옵션 확인

Proxy 탭의 설정을 확인한다. 특히 WebSocket 핸드셰이크(Upgrade 요청)는 일반 HTTP 흐름과 동일하게 캡처된다. 핸드셰이크를 가로채서 헤더를 수정하면 연결을 차단하거나 변조된 연결을 성립시킬 수 있다.

WebSocket 캡처 흐름

1. 핸드셰이크 캡처

클라이언트가 서버로 보낸 HTTP Upgrade 요청은 Burp의 Proxy Intercept에 나타난다. 이 단계에서 다음을 확인한다.

• Upgrade: websocket, Connection: Upgrade 헤더 존재 여부
• Sec-WebSocket-Key와 Origin 헤더 값
• 필요시 헤더를 수정해 응답 동작을 확인

2. WebSocket 연결 수립 후 메시지 확인

핸드셰이크가 완료되면 Burp의 Proxy 탭 아래에 있는 "WebSockets history" 또는 "WebSockets" 섹션에서 프레임을 확인할 수 있다. 각 연결은 세션으로 그룹화되며, 전송된 프레임 목록과 페이로드를 보여준다.

메시지 확인 및 조작 방법

WebSocket 메시지 뷰어 사용

특정 연결을 선택하면 메시지 리스트가 노출된다. 각 메시지는 텍스트 또는 바이너리로 표시된다. 텍스트일 경우 JSON, plain text 등을 바로 읽을 수 있다.

프레임 수정 절차

• 수정하려는 프레임을 선택
• 오른쪽 클릭 메뉴에서 "Edit message" 또는 "Intercept message" 선택
• 내용을 변경하고 전송하여 서버의 반응 확인

Repeater 활용

Burp Pro 사용 시 WebSocket 메시지를 Repeater로 보낼 수 있다. Repeater에서 메시지를 편집하고 반복 전송해 서버의 상태 변화를 관찰한다. 이 방식은 페이로드 변조와 상태 기반 테스트에 유용하다.

실습 예제: JSON 페이로드 수정

아래는 일반적인 WebSocket 텍스트 프레임 예시이다. 실제 테스트에서는 메시지 구조를 확인한 뒤 값만 변경하면 된다.

{
  "action": "update",
  "resource": "profile",
  "data": {
    "email": "user@example.com",
    "role": "user"
  }
}

이 메시지를 캡처한 뒤 role을 수정하면 권한 상승 또는 입력 검증 결함을 확인할 수 있다. 변경 후 서버 응답을 관찰해 정상 처리, 오류, 또는 예기치 않은 동작을 판별한다.

검사 시 유의사항

• 핸드셰이크를 임의로 변경하면 연결이 성립되지 않을 수 있다.
• 바이너리 프레임은 변조 시 구조를 유지해야 서버가 정상 파싱한다.
• 트래픽 캡처 대상의 사용권한을 반드시 확인한다. 권한 없는 테스트는 법적 문제를 일으킬 수 있다.

확장 기능 및 자동화

보다 많은 테스트를 원하면 Burp Extender를 통해 WebSocket 관련 확장 기능을 설치할 수 있다. 자동화된 페이로드 주입이나 로깅을 위해 스크립트를 활용하면 반복 작업을 줄일 수 있다.

마무리

Burp Suite로 WebSocket을 검사할 때는 핸드셰이크 분석, 메시지 구조 파악, 안전한 범위 내에서의 프레임 수정 순으로 진행하면 효과적이다. WebSocket 요청 조작 Burp 연습을 통해 실무 점검 역량을 차근히 쌓을 수 있다.