오아시스스토리 블로그
Burp Suite · 2026-02-09

Burp: Intruder·Repeater·Scanner 사용 시점

Burp의 Intruder, Repeater, Scanner 각 도구의 차이와 활용 시점을 초보자도 이해하기 쉬운 기술자료

작성일 : 2026-02-09 ㆍ 작성자 : 관리자
post
목차

소개

Burp Suite에는 여러 도구가 포함되어 있다. 각 도구는 역할이 명확하다. 잘못 선택하면 시간과 효율이 손실된다. 이 글은 Burp 도구 비교 Intruder Repeater 관점에서 각각의 용도와 실제 사용 시점을 정리한다. 초보자도 이해하기 쉬운 흐름으로 설명한다.

도구별 핵심 개념

Repeater — 단일 요청의 반복 검증

Repeater는 요청을 편집하고 재전송하며 응답을 관찰하는 도구다. 주로 취약점 확인이나 논리적 흐름 점검에 쓴다. 세부 헤더나 페이로드를 하나씩 바꿔가며 행동을 확인하기 좋다. 수동 테스트에 적합하다.

Intruder — 자동화된 대량 주입

Intruder는 여러 위치에 다수의 페이로드를 주입하고 응답을 수집해 패턴을 찾는 도구다. 비밀번호 추측, 파라미터 무차별, 다양한 페이로드 조합 테스트에 유리하다. 부하를 줄이는 설정과 페이로드 최적화가 필요하다. 언제 Intruder 사용이 적절한지 아래에서 구체적으로 다룬다.

Scanner — 자동화된 취약점 검색

Scanner는 요청을 자동으로 분석해 알려진 취약점 유형을 탐지한다. 결과는 우선순위와 증거와 함께 제시된다. 시간 절약과 포괄적 탐색에 좋지만, 오탐 가능성과 정확성 한계가 있다. 따라서 수동 도구와 병행하는 것이 바람직하다.

언제 어떤 도구를 선택할까

기본 원칙

  • 문제 이해 우선: 목표와 가설을 명확히 한다.
  • 범위와 영향 고려: 대상 서비스에 가해질 부하와 정책을 점검한다.
  • 자동화와 수동의 조화: Scanner로 넓게 훑고, Repeater로 깊게 확인하며, Intruder로 반복 작업을 자동화한다.

상황별 추천

  • 요청 형식이나 로직을 확인할 때: Repeater 사용
  • 파라미터 조합을 대량으로 테스트할 때: Intruder 사용
  • 전체적인 취약점 스캔이 필요할 때: Scanner 사용

실전적 사용 흐름

대략적인 작업 흐름은 다음과 같다. 먼저 Scanner로 전체를 스캔해 잠재적 이슈를 파악한다. 다음 Repeater로 의심스러운 요청을 수동으로 확인한다. 마지막으로 반복 테스트가 필요한 경우 Intruder로 자동화한다. 이 순서는 시간과 정확성 측면에서 효율적이다.

예시 절차

  • Scanner 실행: 빠르게 잠재 취약점 목록 확보
  • 중요 항목 선택: 우선순위 높은 항목을 선별
  • Repeater로 검증: 요청을 변형해 응답 비교
  • Intruder로 확장 테스트: 여러 페이로드나 계정으로 반복

설정 팁과 주의사항

Intruder 설정 요령

Intruder는 강력하지만 부하를 유발한다. 다음을 고려한다.

  • 스레드 수 제한으로 서버 부하 최소화
  • 타임아웃과 지연값 설정으로 블록 리스크 관리
  • 페이로드 정렬과 필터로 노이즈 줄이기

Repeater 활용 요령

Repeater는 수동 디버깅에 최적화되어 있다. 헤더 수정, 쿠키 변경, 바디 편집 후 응답 비교를 반복하면 논리적 취약점을 찾기 쉽다. 반복적인 요청을 자동화할 필요가 없을 때 특히 유용하다.

Scanner 결과 해석

Scanner는 시작점으로 삼는다. 레포트의 증거를 바탕으로 Repeater에서 수동 검증을 수행하라. 또한 Scanner가 놓치는 비표준 로직은 수동 점검이 필요하다.

간단한 예제

다음은 Intruder에 넣을 기본 페이로드 위치 설정 예시다. 요청 내 취약 위치 표시는 Burp에서 기본적으로 < >로 표시된다.

POST /login HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded

username=admin&password=<INJECT>

위와 같은 형태를 Repeater로 먼저 테스트한다. 동작이 확인되면 동일 위치를 Intruder에 넣어 여러 페이로드를 자동 주입한다.

정리

Burp 도구 용도 설명을 한 문장으로 요약하면 다음과 같다. Repeater는 수동 검증, Intruder는 반복·대량 테스트, Scanner는 자동 탐지에 강하다. 상황에 따라 도구를 병행하면 시간과 정확도를 모두 확보할 수 있다. 처음에는 Scanner로 전체를 훑고, Repeater로 핵심을 확인한 뒤 Intruder로 확장하는 워크플로우를 권한다.

Burp 도구 비교 Intruder Repeater 언제 Intruder 사용 Burp 도구 용도 설명 Burp Intruder 사용법 Repeater 사용 사례 Scanner 활용법 웹취약점 테스트 Burp 워크플로우