오아시스스토리 블로그
Burp Suite · 2026-02-18

Burp로 CAPTCHA·2FA 보호 취약성 평가

Burp Suite를 활용해 CAPTCHA와 2FA 보호의 취약성 평가 절차, 판별 근거, 범위 설정과 안전한 실행 흐름을 정리한 기술 자료

작성일 : 2026-02-18 ㆍ 작성자 : 관리자
post
목차

개요

이 글은 Burp를 사용한 CAPTCHA와 2FA 보호의 윤리적 평가 방법을 정리한 문서다. 목적은 실제 우회 방법을 제공하는 것이 아니라, 취약성 존재 여부를 안전하게 판별하고 보고하는 절차를 제시하는 데 있다. 초보자도 따라올 수 있도록 흐름과 핵심 지표를 중심으로 설명한다.

사전 조건과 범위

권한과 범위 설정

테스트 전 반드시 명시적 허가가 필요하다. 범위, 허용된 테스트 도구, 시간대, 영향을 받는 서비스 목록을 문서화한다. 허가 범위를 벗어난 시도는 불법 행위가 될 수 있다.

환경 준비

  • Burp Suite 설치 및 브라우저 연동
  • 테스트용 계정 또는 자체 스테이징 환경 확보
  • 로그 기록과 백업 계획 수립

평가 접근 방식

평가는 세 단계로 진행한다. 탐지(Observation), 강도 평가(Strength assessment), 보고(Reporting)다. Burp를 핵심 도구로 사용해 흐름을 캡처하고, 응답 패턴과 제한 조건을 분석한다.

탐지 단계

  • 로그인·인증 흐름 캡처: Repeater와 Proxy로 요청·응답을 기록
  • CAPTCHA 유무와 배치 위치 확인
  • 2FA 트리거와 검증 엔드포인트 파악

강도 평가 단계

강도 평가는 공격 시나리오를 모의하지만, 실제 우회 시도는 하지 않는다. 대신 응답 코드, 에러 메시지, 지연값, 세션 갱신 방식, 토큰 예측 가능성 등을 점검한다. 이 과정에서 다음 지표를 확인한다.

  • 반복 시 응답 패턴(예: 동일한 에러 메시지 반복 출력 여부)
  • IP/계정당 요청 제한과 지연 삽입 여부
  • 세션·토큰 갱신 흐름의 불일치 여부
  • CAPTCHA의 서버 측 검증 방식과 클라이언트 의존성

Burp를 활용한 안전한 검사 기법

Proxy와 Repeater 사용

Proxy로 흐름을 캡처한 뒤 Repeater로 단일 요청을 반복 분석한다. 응답 메시지의 차이를 통해 서버의 검증 단계를 파악한다. Burp CAPTCHA 테스트 과정에서는 응답 본문에서 캡처 토큰, 세션 ID, 오류 키워드를 찾아둔다.

Intruder 사용 시 주의사항

자동화된 다중 요청은 대상 서비스에 영향을 줄 수 있다. 허가 범위가 넓고 피해 가능성이 없는 경우에만 소규모로 사용하며, 속도 제한과 요청 간격을 충분히 설정한다. 2FA 우회 시나리오 Burp 점검에서는 과도한 브루트포싱은 피하고 패턴 분석에 집중한다.

응답과 로그에서 주목할 점

  • 에러 메시지에 민감한 정보가 노출되는지 확인
  • CAPTCHA 토큰이 클라이언트에서 쉽게 추출되는지 확인
  • 2FA 검증 엔드포인트의 응답 코드(200/401/429 등) 패턴
  • 로그인 시 세션 고정(Session fixation) 가능성

샘플 요청 및 분석 예시

아래는 로그인 흐름에서 캡처한 요청 예시다. 실제 코드 값을 무작위로 대체했다.

POST /login HTTP/1.1
Host: target.example.com
Content-Type: application/x-www-form-urlencoded
Cookie: session=abcdef123456

username=testuser&password=xxxx&captcha_response=xyz_token

응답에서 CAPTCHA 검증은 별도 엔드포인트로 위임되거나, 응답 본문에 명확한 상태값을 포함할 수 있다. 2FA 트리거가 이어질 때는 다음과 같은 검증 호출을 확인한다.

POST /2fa/verify HTTP/1.1
Host: target.example.com
Content-Type: application/json
Cookie: session=abcdef123456

{"code":"123456","device_id":"dev-01"}

결과 해석과 보고

취약성으로 판정할 때는 근거를 명확히 적는다. 재현 단계, 캡처된 요청·응답, 영향을 받는 계정 군, 재현 가능성, 권고 조치 순으로 기록한다. 권고는 방어적 조치 위주로 제시한다.

권고 예시

  • CAPTCHA 토큰의 서버 측 검증 강화
  • 2FA 시 임시 토큰의 난수성 확보 및 단기간 만료 설정
  • IP/계정 기반의 속도 제한과 지연 도입
  • 민감 정보가 포함된 에러 메시지 제거

체크리스트

  • 테스트 허가 문서 확보
  • 테스트 계정과 로그 보관 정책 마련
  • Burp CAPTCHA 테스트와 2FA 우회 시나리오 Burp 관련 주요 응답 패턴 기록
  • 보고서에 재현 단계와 권고 명시

마무리

Burp 인증 강도 평가 목적은 보호 메커니즘의 약점을 드러내고 개선점을 제시하는 데 있다. 절대 무단 테스트를 수행해서는 안 된다. 안전한 범위에서 관찰, 분석, 보고를 반복하면 실효성 있는 방어 개선에 기여할 수 있다.

Burp CAPTCHA 테스트 2FA 우회 시나리오 Burp Burp 인증 강도 평가 Burp Suite CAPTCHA 보안 평가 2FA 취약성 검사 웹 인증 테스트 윤리적 보안테스트