Burp로 인증 우회(게스트 권한 상승) 점검

개요

이 글은 Burp Suite를 이용해 인증 우회 시나리오, 특히 게스트에서 권한 상승 가능성을 점검하는 방법을 설명한다. 목적은 취약점 유무를 합리적으로 판단하고, 발견 시 대응 우선순위를 정하기 위함이다. 모든 점검은 명시적 허가 범위 내에서만 수행해야 한다.

목적과 전제

목적

권한 검증 로직의 누락이나 세션 처리 오류로 인해 권한 상승이 가능한지 확인한다. 발견 시 보안 조치와 재검증 방안을 제시한다.

전제조건

• 테스트 대상에 대한 적법한 허가가 있어야 한다.
• 테스트 환경 또는 범위가 명확히 정의되어 있어야 한다.
• 실제 서비스 운영에 영향을 주지 않도록 주의한다.

점검 흐름(고수준)

아래 흐름은 개념적 절차다. 세부 도구 조작이나 악의적 기법은 포함하지 않는다.

• 환경 준비: Burp Suite 기본 프록시와 대상 등록.
• 세션·인증 모델 이해: 쿠키, 토큰, 헤더 기반 인증 확인.
• 권한 경계 파악: 게스트와 인증 사용자 간 접근 차이 식별.
• 요청 비교 분석: 게스트 요청과 인증 요청을 비교해 차이를 검토.
• 응답 유효성검사: 서버 응답 상태, 데이터 노출 여부 확인.
• 결과 문서화 및 리스크 평가: 영향도와 재현 가능성 기록.

Burp 사용 시 유의점

설정 관점

• 프록시 캡처는 필요한 범위만 활성화한다.
• 로그는 민감정보를 포함할 수 있으므로 안전하게 보관한다.
• 자동 스캐너 사용 시 과도한 요청을 피하도록 스케줄을 조절한다.

분석 관점

게스트와 인증 사용자 간 요청 차이를 구조적으로 비교한다. 차이점은 주로 다음 항목에서 발견된다.

• 엔드포인트 경로 및 파라미터
• 인증 토큰·세션 쿠키 유무
• 역할 기반 응답 필터링 여부
• 서버 측 검증 메시지나 오류 코드

안전한 예시 요청/응답(샘플)

아래 예시는 구조 이해를 돕기 위한 가상 샘플이다. 실제 공격 용도가 아니다.

GET /api/resource?id=123 HTTP/1.1
Host: example.com
Cookie: session=SESSION_ID_PLACEHOLDER
Accept: application/json

HTTP/1.1 200 OK
Content-Type: application/json

{ "id": 123, "owner": "user@example.com", "sensitive": false }

취약성 판단 기준

권한 상승 취약성 여부 판단 시 다음 기준을 사용한다.

• 게스트로 접근 불가 자원에 데이터가 반환되는지 여부.
• 권한 체크가 클라이언트에만 의존하는지 여부.
• 응답에 역할 정보나 내부 식별자가 노출되는지 여부.
• 재현성이 높은지와 개선 후 재검증 가능성.

대응 및 예방

발견 시 권장하는 대응은 다음과 같다. 우선 권한 검증 로직을 서버 측으로 이전하고 최소 권한 원칙을 적용한다.

• 서버 사이드 권한 검증 강화.
• 세션 무결성 및 토큰 발급 검토.
• 민감 데이터 반환 제어와 응답 최소화.
• 테스트 후 보완점에 대한 재검증 계획 수립.

보고서 구성 요소

점검 결과 보고서에는 다음 항목을 포함한다.

• 점검 범위와 허가 증빙
• 재현 가능한 요약(개념적 재현 절차)
• 발견된 문제의 영향도 평가
• 구체적 개선 권고와 우선순위

요약

Burp Suite는 권한 경계 검토에 유용한 도구다. 다만 도구 사용 자체보다 권한 모델 이해가 더 중요하다. 모든 점검은 합법적 범위 내에서 수행하고, 발견 시 서버 측 방어를 우선 보강한다. 마지막으로 점검 결과는 명확히 문서화해 재발 방지에 활용한다.