오아시스스토리 블로그
Burp Suite · 2026-02-26

Burp BApp 필수 확장 10선

초보부터 숙련자까지 활용 가능한 Burp Suite BApp Store의 핵심 확장 10종을 엄선했다. 각 확장의 기능, 설치 방법, 활용 포인트를 정리한 확장 목록

작성일 : 2026-02-26 ㆍ 작성자 : 관리자
post
목차

소개

Burp Suite는 플러그인 생태계인 BApp Store 덕분에 유연하게 확장된다. 기본 도구만으로는 놓치기 쉬운 분석 지점이나 자동화 작업을 BApp이 보완한다. 이 글은 BApp 추천 목록 중 실무와 학습에 유용한 Burp 확장 추천 10가지와 사용 포인트를 쉽게 설명한다.

BApp Store 기본 사용법

설치와 활성화

Burp의 Extender 탭에서 BApp Store를 연다. 목록에서 원하는 확장을 찾아 설치하면 자동으로 탭이나 메뉴가 추가된다. 별도 JAR 파일을 수동으로 추가하려면 Extender > Extensions > Add로 JAR을 불러오면 된다.

1. Burp 실행
2. Extender > BApp Store 클릭
3. 원하는 확장 선택 후 Install 클릭
4. 설치 후 해당 기능 탭 확인

추천 확장 10선

  • 1. ActiveScan++

    기본 Active Scan을 보완하는 확장이다. 추가 검증 로직과 페이로드 다양화를 통해 스캔 정확도를 높인다. 대량 스캔 시 false positive를 줄이기 위한 후처리 옵션이 유용하다.

  • 2. Autorize

    권한 상승과 접근 제어 취약점을 찾는 데 특화됐다. 자동으로 세션 변경과 권한 토글을 테스트해 비인가 접근 가능 지점을 찾아낸다. 로그인 세션을 복제해 비교하는 방식으로 사용한다.

  • 3. Logger++

    Burp의 기본 로그보다 상세한 요청·응답 기록을 제공한다. 조건 필터링과 CSV 내보내기 기능으로 탐색 기록을 관리하기 쉽다. 사고조사나 결과 공유 시 매우 유용하다.

  • 4. Retire.js

    프론트엔드 자바스크립트 라이브러리의 취약 플러그인과 오래된 버전을 탐지한다. 클라이언트 측 취약점을 체크할 때 빠르게 라이브러리 정보를 수집해 우선순위를 정하는 데 도움된다.

  • 5. JSON Beautifier

    JSON 응답을 보기 좋게 정리한다. 복잡한 API 분석에서 구조를 빠르게 파악할 수 있어 페이로드 생성 및 취약점 확인 속도를 높인다. 디버깅용으로 필수적이다.

  • 6. Hackvertor

    인코딩·디코딩, 변환 작업을 빠르게 처리한다. 공격 벡터 생성 시 자주 쓰는 변환(HEX, URL, Base64 등)을 원클릭으로 수행해 실수 없이 페이로드를 만들 수 있다.

  • 7. Turbo Intruder

    대규모 요청 전송과 고성능 브루트포스에 특화된 도구다. 파이썬 기반 스크립팅으로 동적인 공격 흐름을 구성할 수 있어 복잡한 요청 시나리오에 적합하다. 병렬성 조절로 네트워크 부하를 관리한다.

  • 8. JSFinder

    응답에서 자바스크립트 파일과 그 안의 유용한 엔드포인트를 자동으로 추출한다. API 엔드포인트, 토큰 키, 힌트가 될 수 있는 경로를 빠르게 수집해 공격 벡터를 확장하는 데 도움된다.

  • 9. Param Miner

    숨겨진 파라미터나 흔히 사용되는 파라미터 조합을 자동으로 주입하고 반응을 분석한다. 파라미터 기반 취약점(예: 파라미터 오염, 매개변수 주입) 탐지에 유용하다.

  • 10. SAML Raider

    SAML 기반 인증 흐름을 분석하고 취약점을 찾는 데 특화된 확장이다. SAML 요청/응답 디버깅과 서명 검증, replay 테스트 등이 가능해 SSO 분석에 필수적이다.

확장별 활용 팁

  • 우선순위 결정

    목표와 테스트 범위를 먼저 정한다. 웹 애플리케이션의 특성에 따라 Retire.js나 JSFinder가 우선일 수 있고, API 중심이면 JSON Beautifier와 Param Miner를 먼저 적용한다.

  • 자동화와 수동 조합

    자동 도구로 잠재 취약점을 수집한 뒤 Logger++ 같은 툴로 로그를 검토한다. 오탐 여부는 수동 확인으로 최소화한다.

  • 성능 고려

    Turbo Intruder와 같은 고성능 확장은 네트워크와 서버에 큰 부하를 줄 수 있다. 테스트 환경을 고려해 병렬 수를 조절한다.

실전 예시

간단한 XSS 페이로드 검증 예시를 들어 흐름을 정리한다. Burp에서 요청을 가로채고 페이로드를 주입한 뒤 Logger++과 ActiveScan++로 반응을 확인한다.

GET /search?q=test HTTP/1.1
Host: example.com
User-Agent: Burp

-- 페이로드 예시 --
q=<script>alert(1)</script>

마무리

여기서 소개한 Burp 확장 추천 10가지는 기본적인 탐색부터 심화 분석까지 폭넓게 활용 가능하다. 각 확장의 목적을 이해하고 목표에 맞게 조합하면 스캔 효율과 정확도를 동시에 높일 수 있다. BApp 추천 목록을 참고해 실무 환경에 맞게 선택하면 도움이 된다.

BApp 추천 목록 Burp 필수 확장 BApp Burp 확장 추천 10가지 Burp Suite BApp Store 웹 취약점 스캐너 보안 도구 침투테스트