Burp 리포트 자동화로 맞춤형 취약점 리포트 생성

개요

Burp Suite는 웹 취약점 진단 도구로 널리 사용된다. 다만 기본 리포트는 팀별 요구에 맞춰 즉시 사용하기에 한계가 있다. 이 글은 Burp 리포트 자동화의 전반 흐름과 실제 구현 예제를 소개한다. 처음 접하는 사람도 흐름을 이해하도록 단계별로 설명한다.

사전 준비

필수 도구

• Burp Suite (스캔 결과 내보내기 가능한 버전)
• Python 3.x
• XML 또는 JSON 파서를 사용할 수 있는 라이브러리 (예: xml.etree, json)
• 템플릿 엔진 (예: Jinja2) 또는 Markdown 변환기

내보내기 형식 선택

Burp는 XML, HTML, JSON 등으로 내보내기를 지원한다. 자동화 목적이라면 구조화된 XML 또는 JSON을 권장한다. XML은 취약점 세부 필드를 보존하기 쉬우며, 파싱과 필터링이 편리하다.

자동화 설계 흐름

리포트 자동화는 크게 데이터 추출, 변환, 템플릿 렌더링, 출력으로 구성된다. 각 단계의 목적은 다음과 같다.

• 데이터 추출: Burp에서 생성한 XML/JSON 파일을 파싱해 중요한 필드(이슈명, 심각도, URL, 요청/응답 등)를 수집
• 데이터 정제: 중복 제거, 중복 호스트 그룹화, 우선순위 매핑
• 템플릿 렌더링: 조직 포맷에 맞춘 HTML/PDF 템플릿으로 변환
• 배포 및 통합: 취약점 관리 시스템 또는 이메일로 자동 전송

구현 예제: Burp XML을 HTML로 변환

아래 예제는 Burp가 생성한 XML 파일에서 이슈를 추출해 Jinja2 템플릿으로 HTML 리포트를 생성하는 간단한 구현이다. 핵심 아이디어는 XML에서 반복되는 issue 요소를 파싱해 필요한 필드만 골라내는 것이다.

파싱 및 렌더링 스크립트 (Python)

import xml.etree.ElementTree as ET
from jinja2 import Template

# Burp XML 파일 로드
tree = ET.parse('burp_scan.xml')
root = tree.getroot()

issues = []
for issue in root.findall('.//issue'):
    title = issue.findtext('issueName') or ''
    severity = issue.findtext('severity') or ''
    host = issue.findtext('host') or ''
    path = issue.findtext('path') or ''
    httpMessages = issue.findall('.//httpMessage')
    sample = httpMessages[0].findtext('request') if httpMessages else ''

    issues.append({
        'title': title,
        'severity': severity,
        'host': host,
        'path': path,
        'sample': sample
    })

# 간단한 Jinja2 템플릿
tpl = Template('''
<html>
<head><meta charset="utf-8"/><title>취약점 리포트</title></head>
<body>
 <h1>취약점 리포트</h1>
 {% for it in issues %}
 <h2>{{ it.title }} - {{ it.severity }}</h2>
 <p>호스트: {{ it.host }}<br/>경로: {{ it.path }}</p>
 <pre>{{ it.sample }}</pre>
 {% endfor %}
</body>
</html>
''')

html = tpl.render(issues=issues)
with open('report.html', 'w', encoding='utf-8') as f:
    f.write(html)

설명

스크립트는 Burp XML의 issue 요소를 순회하며 주요 필드를 추출한다. 추출된 데이터는 Jinja2 템플릿으로 전달되어 최종 HTML을 만든다. 필요에 따라 severity 매핑, 소유자 할당, CVSS 점수 연동 등을 추가할 수 있다.

템플릿 설계 포인트

• 요약 섹션: 총 이슈 수, 심각도 분포, 영향받는 호스트 요약
• 세부 섹션: 이슈별 설명, 재현 절차(요약), 권고사항
• 첨부자료: 원본 요청/응답, 스크린샷 링크
• 머리말/바닥글: 작성자, 생성일, 스캔 설정 요약

템플릿은 자동화된 읽기 흐름을 고려해 구성한다. 예컨대 우선순위가 높은 항목을 앞에 배치하도록 정렬 규칙을 적용하면 검토 효율이 개선된다.

운영 팁

• 파싱 시 필드 누락에 대비한 기본값 처리
• 중복 이슈 병합 로직 적용으로 노이즈 감소
• 정기 스케줄링을 위한 CI 파이프라인 통합
• PDF 변환이 필요하면 헤드리스 브라우저 또는 wkhtmltopdf 사용

검증과 배포

자동 생성된 리포트는 반드시 수동 검토 절차를 포함한다. 특히 권고사항은 기술팀의 운용 현실과 맞는지 확인이 필요하다. 완성된 리포트는 취약점 관리 도구와 연동해 추적 가능한 형태로 저장한다.

결론

Burp 리포트 자동화는 반복 업무를 줄이고 일관된 보고 품질을 확보하는 데 효과적이다. 핵심은 신뢰성 있는 데이터 추출과 조직에 맞는 템플릿 설계다. 제시한 흐름과 예제를 바탕으로 점진적으로 기능을 확장하면 실무에서 바로 활용 가능한 맞춤형 리포트 체계 구축이 가능하다.