Burp Suite로 커맨드 인젝션 점검과 안전한 페이로드 테스트

개요

커맨드 인젝션은 외부 입력이 시스템 쉘로 전달되어 임의 명령이 실행되는 취약점이다. 처음 접하는 사람도 이해하기 쉽도록 개념부터 탐지 방법, 안전한 페이로드로 검증하는 절차까지 정리한다. 모든 테스트는 권한 있는 대상과 실험 환경에서만 진행해야 한다.

준비 사항

필수 도구

• Burp Suite (Community 또는 Professional)
• 테스트 대상의 접근 권한 및 허가
• 동일 네트워크의 테스트 환경(로컬 또는 랩 환경)

Burp 기본 설정

브라우저를 Burp 프록시로 연결하고, 요청을 캡처한 뒤 Repeater와 Intruder를 사용할 수 있도록 준비한다. 스캐너는 Pro 버전에서 자동 탐지에 도움이 된다.

탐지 전략

입력 지점 식별

커맨드 인젝션은 주로 쉘에 직접 전달되는 파라미터에서 발생한다. 파일 업로드, 시스템 명령을 호출하는 API, 로그 또는 운영 스크립트와 연동되는 입력을 우선 점검한다.

반사형(Reflected) 취약점 탐지

간단한 마커 문자열을 주입해 응답에 반영되는지 확인한다. 반영이 관찰되면 추가 검증이 가능하다.

블라인드(Blind) 취약점 탐지

응답에 직접적인 변화가 없을 때는 간접 증거를 찾는다. 예를 들어, 출력에 특정 마커가 포함되는지 또는 로그에 기록되는지 확인한다. 이 단계에서도 시스템 피해를 줄 수 있는 명령 실행은 피하고, 단순 표시용 마커를 사용한다.

Burp로 실무적 검증 흐름

1) 요청 캡처 및 파라미터 확인

• Proxy에서 관심 있는 요청을 캡처한다.
• Replacer 또는 Raw 뷰로 파라미터 구조를 확인한다.

2) Repeater에서 수동 테스트

Reapter에 요청을 보내고 쉘 구분자나 마커를 포함한 안전한 페이로드를 주입해 응답 변화를 관찰한다. 위험한 시스템 명령은 사용하지 않고 단순 출력 마커로 커맨드 실행 가능성을 확인한다.

3) Intruder로 자동화 검증

동일한 위치에 여러 페이로드를 대입해 응답 길이, 상태 코드, 특수 문자열 포함 여부를 비교한다. 블라인드 테스트 시에는 응답 차이를 기반으로 후보를 좁힌다.

안전한 페이로드 예시

실제 시스템 명령을 실행하지 않고, 쉘이 명령을 해석하는지 확인하는 안전한 페이로드 예시다. 목표는 '실행 가능성'을 판단하는 것으로, 시스템 변경이나 정보 노출을 일으키지 않는다.

 ; echo INJ_TEST
 && echo INJ_TEST
 || echo INJ_TEST
 %3B%20echo%20INJ_TEST
 %26%26%20echo%20INJ_TEST

위 예시는 세미콜론(;)이나 논리 연산자(&&, ||)를 삽입해 뒤따르는 명령이 실행되는지 확인한다. URL 인코딩 예시도 함께 제시해 전송 방식에 따라 차이를 확인한다.

응답 분석 포인트

• 응답 본문에 'INJ_TEST' 문자열이 포함되는지 확인
• 응답 길이의 변화 또는 에러 메시지 유무 확인
• 서버 로그(접근 권한 시)에 마커가 남는지 확인

실무적 주의사항

• 모든 테스트는 명시적 허가된 대상에서만 수행
• 파괴적 명령이나 데이터 유출을 초래할 수 있는 페이로드는 사용하지 않음
• 로그와 시스템 상태를 모니터링하며 이상 징후 발생 시 즉시 중단

취약점 대응 방안

입력 검증과 이스케이프

사용자 입력은 허용 목록(allowlist) 방식으로 검증하고, 쉘 호출이 불가피한 경우에는 적절히 이스케이프 처리하거나 고수준 API로 대체한다.

원리 최소 권한

명령을 수행하는 프로세스 권한을 최소화해 공격 영향 범위를 줄인다.

로깅과 모니터링

비정상적인 입력 패턴과 의심스러운 명령 실행 시도를 탐지할 수 있도록 로그를 상세하게 남기고 모니터링 체계를 갖춘다.

맺음말

Burp Suite는 커맨드 인젝션을 찾아내고 안전하게 검증하는 데 유용한 도구다. 핵심은 항상 합법적이고 통제된 환경에서 간단한 마커 기반 페이로드로 실행 가능성을 확인한 뒤, 근본 원인을 제거하는 방향으로 조치하는 것이다. 위 절차를 따라 하면 초보자도 취약점 탐지와 검증 흐름을 이해하는 데 도움이 된다.