오아시스스토리 블로그
Burp Suite · 2026-03-07

Burp로 헤더 기반 취약점 검사: CORS·HSTS·CSP

Burp를 활용해 CORS, HSTS, CSP 헤더 문제를 탐지하는 실무적 접근과 판단 기준을 초보자가 이해하기 쉬운 설명과 예제로 정리한 검사 절차

작성일 : 2026-03-07 ㆍ 작성자 : 관리자
post
목차

개요

헤더는 웹 보안에서 중요한 신호다. 잘못된 헤더 설정은 취약점을 유발한다. 이 글은 Burp Suite를 사용해 CORS, HSTS, CSP 관련 취약점을 찾는 방법을 현실적으로 정리한다. 초보자도 단계별로 따라오도록 구성했다.

왜 헤더 검사가 필요한가

브라우저 보안 동작은 주로 응답 헤더에 의해 결정된다. CORS가 느슨하면 민감한 데이터가 타 도메인으로 유출될 수 있고, HSTS가 없으면 중간자 공격에 취약하다. CSP가 미흡하면 XSS 위험이 커진다. Burp로 이런 문제를 찾아 우선순위를 정할 수 있다.

준비 사항

  • Burp Suite 설치(Community 또는 Pro)
  • 브라우저 프록시 설정 및 Burp 인증서 설치
  • 테스트 대상의 합법적 접근 권한

Burp 기본 흐름

Burp를 통해 요청을 가로채고 응답 헤더를 관찰한다. 파라미터를 변조하거나 반복 요청을 보내며 서버의 응답 변화를 확인한다. 다음 절차를 따르며 각 헤더별로 점검 포인트를 체크한다.

CORS 점검

핵심 포인트

  • Access-Control-Allow-Origin이 '*' 또는 임의 도메인으로 설정되어 있는지
  • Access-Control-Allow-Credentials와 조합 시 위험 여부
  • 반응형 프리플라이트(OPTIONS) 응답의 허용 범위

Burp로 테스트하는 절차

  • 대상 페이지에 대한 정상 요청을 Burp에서 캡처
  • 원본 요청의 Origin 헤더를 공격자 도메인으로 변경
  • 응답의 Access-Control-Allow-* 헤더 확인

예시: 취약한 응답

HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true

위 설정은 민감한 쿠키를 포함한 요청이 타 도메인에서 접근 가능함을 의미한다. Burp에서 Origin을 바꿔 테스트해 실제로 응답이 열려 있는지 확인한다.

HSTS 점검

핵심 포인트

  • Strict-Transport-Security 헤더의 존재 여부
  • max-age 값의 적정성(최소 권장값 검토)
  • includeSubDomains 및 preload 옵션 필요성

Burp로 테스트하는 절차

  • HTTP로 접속 시 HTTPS로 리디렉션되는지 확인
  • 응답에 Strict-Transport-Security가 포함되는지 검사
  • 헤더가 없거나 짧다면 중간자 공격 시나리오를 고려

예시: 안전한 HSTS

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

만약 이 헤더가 없으면 Burp의 Repeater로 HTTP 요청을 보내 중간자 위험을 시뮬레이션한다.

CSP 점검

핵심 포인트

  • Content-Security-Policy 헤더의 존재와 정책 강도
  • unsafe-inline, unsafe-eval 등 위험 옵션의 사용 여부
  • script-src, object-src, default-src 규칙의 적절성

Burp로 테스트하는 절차

  • 응답 헤더에서 CSP 유무 확인
  • 정책이 느슨하면 인라인 스크립트나 외부 스크립트 로딩을 시도
  • Content-Security-Policy-Report-Only가 있으면 이를 통해 경고 로그 분석

예시: 취약한 CSP

Content-Security-Policy: default-src 'self' 'unsafe-inline' https:;

'unsafe-inline'이 포함되면 인라인 스크립트 기반 XSS가 방어되지 못한다. Burp를 통해 페이로드를 삽입하고 브라우저 동작을 관찰한다.

판단 기준과 보고

각 문제는 영향도와 재현 가능성으로 우선순위를 나눈다. 예를 들어, CORS에서 Access-Control-Allow-Origin: *와 Allow-Credentials가 동시에 허용되면 심각도로 분류한다. HSTS가 없으면 중간자 공격 시나리오를 제시한다. CSP가 느슨하면 구체적 페이로드와 증거 스크린샷을 첨부한다.

완화 방안 요약

  • CORS: 최소한의 도메인만 허용, Allow-Credentials와 '*' 동시 사용 금지
  • HSTS: 충분한 max-age, includeSubDomains 적용, 가능하면 preload 신청
  • CSP: 'unsafe-*' 제거, 필요한 소스만 명시, 리포트 모드로 점진 적용

마무리

Burp Suite는 헤더 기반 취약점 탐지에 강력한 도구다. 본문에서 설명한 절차를 따르며 Burp CORS 테스트, Burp HSTS 취약점 탐지, Burp CSP 검사 과정을 반복하면 실무에서 유의미한 발견을 할 수 있다. 항상 합법적 범위 내에서 테스트하고 발견 사항은 명확한 증거와 함께 보고서로 정리한다.

Burp CORS 테스트 Burp CSP 검사 Burp HSTS 취약점 탐지 헤더 취약점 웹 보안 CSP 설정 HSTS 적용 CORS 보안