보안 툴하면 가장 먼저 생각나는 툴인 Burpsuite (이하 버프슈트) 는 'PortSwigger' 社 에서 만든 프록시 웹 취약점 점검 도구다. 해당 도구는 2024년 현재 '웹 취약점 도구' 라고 하면 가장 강력하고 가장 많이 사용하는 모의해킹 프로그램이라고 볼 수 있을 것이다. 필자 본인도 PortSwigger 는 '취약점 점검 도구' 인 'Burpsuiter' 을 개발을 하는 회사라 수 많은 취약점과 연관이 없다고 (물론 취약점 점검 도구를 만든 순간부터 아예 없다고 보긴 어렵겠다만...) 생각했으나 버프슈트 프로의 정식 가격이 생각보다 얼마 안된다는 정보에 확인 차 본 홈페이지에 접근하고 나서 그 생각을 달리 먹는 계기가 되었다.
PortSwigger 에서는 우리가 알고있는 취약점 점검 도구인 버프슈트 추가 개발을 진행하는 것 뿐 아니라 취약점 연구, 웹 취약점 진단, 응용 프로그램 모니터링, 그리고 이후 본 글에서 서술할 Dreamhack 이나 BugbountyClub 과 같이 취약점 교육을 목적으로 하는 'Academy' 페이지도 운영하고 있다.
해당 페이지에는 크게 3가지 영역의 취약점으로 나누어 설명하고 있다.
왜 이전에 진행했던 BugbountyClub 이나 Dreamhack 은 할 생각 안하고 또 새로운걸 찾아서 하느냐.. 라고 할 수 있는데, 우선 본인에게 급한건 '기초' 항목이 아니라 취약점 점검에서 직접적으로 사용될 추가 '기술' 이라 판단했다. 어느 덧 웹/모바일 모의해킹 만 3년차가 되어가고 있는데, 취약점 점검을 진행하면서 어느정도 포인트에 대한 '감각' 은 익혔으나 아직까지 부족한 기술이 체득되지 않은 것은 사실이라 그렇다. 3년이 다 되어가는 시간동안 사회생활을 하며 많은 일들이 있었는데, 그 모든 것들을 소화해가며 본인이 부족한 부분을 채우기가 힘든 것은 사실이니까.
24년의 남은 어느정도의 기간은 부족한 기술연구와 버그바운티를 진행할 예정이다.
많고 많은 훈련 및 교육 사이트 중 왜 'PortSwigger' 을 찾았냐고 물어보면 앞서 말했다싶이 본인에게 필요한 기술들만이 작성되어있기도 하고, 무엇보다도 정리된 블로그가 따로 없었다.
우선 해당 글 중 당장 진행할 구간은 .. 조금 더 생각해보고 다음 글에서 소개하도록 하겠다.
PortSwigger Academy ↘
All Web Security Academy topics | Web Security Academy
An overview of all topics, from beginner to expert level, through the Web Security Academy - brought to you by PortSwigger. Create an account to get started.
portswigger.net