오아시스스토리 블로그
Burp Suite · 2026-02-16

Burp로 세션 매크로와 자동 로그인 구성하기

Burp Suite에서 로그인 흐름을 자동화하고 세션 토큰을 추출해 세션을 관리하는 절차와 예제를 초보자 수준에서 설명한 자료

작성일 : 2026-02-16 ㆍ 작성자 : 관리자
post
목차

개요

웹 취약점 검사를 할 때 반복 로그인은 시간을 크게 소모한다. Burp Suite의 세션 매크로와 자동 로그인 기능을 활용하면 로그인 흐름을 자동화하고 세션 토큰을 일관되게 처리할 수 있다. 이 글은 단계별로 설정 방법과 주의점을 설명한다.

사전 준비

필수 조건

  • Burp Suite(Professional 권장) 설치
  • 브라우저가 Burp 프록시를 통해 트래픽을 보내도록 설정
  • 테스트할 웹 애플리케이션의 로그인 자격 증명

Burp 세션 매크로 설정 개념

세션 매크로는 여러 HTTP 요청을 하나의 순서로 실행해 로그인이나 토큰 갱신 같은 작업을 수행한다. 매크로는 응답에서 값을 추출해 다음 요청에 반영할 수 있다. 이 기능을 통해 Burp 자동 로그인 구성과 Burp 매크로 세션 관리가 가능해진다.

실전 구성 절차

1. 로그인 흐름 캡처

브라우저에서 로그인을 수행하고 Burp의 HTTP history에 관련 요청이 남는지 확인한다. 로그인 폼 제출 요청과 로그인 후 리디렉션, 세션 쿠키가 설정되는 응답이 필수적이다.

2. 매크로 만들기

Project options > Sessions > Macros에서 새 매크로를 추가한다. 매크로에는 로그인 폼 제출 요청과 필요한 전후 요청을 순서대로 넣는다.

POST /login HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded

username=demo&password=secret

GET /dashboard HTTP/1.1
Host: example.com

위 예시는 매크로에 포함될 요청의 샘플이다. 실제 요청은 HTTP history에서 선택한다.

3. 응답에서 세션 값 추출

매크로 항목을 선택하면 응답에서 토큰 또는 쿠키 값을 추출하도록 설정할 수 있다. 일반적으로 정규표현식으로 세션 값이나 토큰을 캡처한다. 추출한 값은 다음 요청의 헤더나 쿠키로 넣을 수 있다.

4. 세션 처리 규칙(Session handling rule) 생성

Project options > Sessions > Session handling rules에서 새 규칙을 추가한다. 규칙에 트리거(특정 도메인 또는 스코프)와 동작(매크로 실행, 쿠키 자바 업데이트, 헤더 설정 등)을 지정한다.

  • Scope: 테스트할 도메인 제한
  • Action: Run a macro 선택 후 앞서 만든 매크로 지정
  • Options: 필요 시 쿠키 자바 업데이트나 세션 값 설정

5. 매크로 자동 실행 확인

설정 후 Burp의 Intruder, Scanner, Repeater 등에서 요청을 보낼 때 매크로가 선행 실행되는지 확인한다. 매크로가 실패하면 로그와 HTTP history를 확인해 응답 코드나 패턴을 점검한다.

예시: 로그인 토큰을 헤더에 넣기

로그인 응답에서 JSON으로 토큰이 반환되는 경우. 정규식으로 토큰을 추출해 다음 요청의 Authorization 헤더에 넣을 수 있다.

HTTP/1.1 200 OK
Content-Type: application/json

{"access_token":"abc123xyz","expires_in":3600}

추출 정규식 예: "access_token":"([^"]+)". 이 패턴으로 캡처한 값을 매크로 변수로 등록해 헤더에 삽입한다.

문제 해결 팁

  • 매크로 실패 시 HTTP history로 요청/응답을 재검토한다.
  • 동적 파라미터가 많으면 매크로에 필요한 추가 요청을 포함한다.
  • CSRF 토큰 같은 값은 매크로가 최신 값을 추출하도록 설정해야 한다.
  • 쿠키 자바 옵션을 이용하면 Burp가 쿠키를 중앙에서 관리한다.

보안과 운영상의 주의점

자동 로그인 설정은 테스트 계정과 격리된 환경에서만 사용한다. 실제 사용자 계정 또는 민감한 운영 환경에서 무분별한 자동화는 위험을 초래한다. 또한 반복 요청으로 인해 계정 잠금 또는 서비스 차단이 발생할 수 있다.

요약

Burp 세션 매크로 설정과 Burp 자동 로그인 구성은 반복 로그인 부담을 크게 줄이고 테스트 정확도를 높인다. 매크로로 로그인 흐름을 캡처하고, 응답에서 세션 값을 추출해 Session handling rule에 연결하면 Burp 매크로 세션 관리가 체계화된다. 설정 후에는 반드시 동작을 검증하고 안전한 테스트 범위를 유지한다.

Burp Suite Burp 세션 매크로 설정 Burp 자동 로그인 구성 Burp 매크로 세션 관리 세션 토큰 추출 로그인 자동화 세션 관리 웹 취약점 스캐닝