HTTP 요청 패킷을 조작하거나 웹 디버깅을 할 때, 버프 스위트(Burp Suite), 피들러(Fiddler) 프로그램을 사용한다. 해당 프로그램은 프록시, 패킷 조작, 취약점 진단 등 기능이 있는 오픈 소스로 제공하고 있다.
버프 스위트에서 사용하는 포트로 프록시를 설정하고, 버프 스위트를 돌리면 계속 SSL 보안 인증서에 문제가 있다는 에러 메시지만 나오고, 정상적인 페이지로 이동이 안된다.
이 웹 사이트의 보안 인증서에 문제가 있습니다. 이 웹 사이트에서 제시한 보안 인증서는 신뢰할 만한 인증 기관에서 발급한 것이 아닙니다. 문제가 있는 인증서를 통해 사용자를 속이거나 사용자가 서버로 보내는 데이터를 가로챌 수도 있습니다. |
하지만, 최신 버전의 버프 스위트 또는 피들러는 이런 에러 메시지가 나타나지 않아 구글 검색을 하여 문제를 해결했다. 문제 해결 방법은 버프 스위트의 인증서를 신뢰된 루트 인증 기관에 설치하면 된다.
버프 스위트가 동작한 상태에서 웹 브라우저 주소창에 http://burp를 입력하면 상단의 3가지 매뉴를 확인할 수 있다.
그 중 CA Certificate를 클릭해서 cert.der (인증서) 파일을 로컬에 다운로드 받자.
인터넷 익스플로러에 마우스 우측 클릭을 하고 속성 버튼을 클릭하면 인터넷 옵션 창이 출력되는데, 내용 버튼을 클릭하고 인증서 버튼을 클릭한다.
로컬에 설치된 인증서 목록을 확인할 수 있는데, 현재 버프 스위트의 인증서 목록이 보이지 않는다. 하단의 가져오기 버튼을 클릭하여 버프 스위트 인증서를 설치하도록 한다.
가져오기 버튼을 클릭하면 인증서 가져오기 마법사가 실행되는데 다음 버튼을 클릭한다.
다운로드 받은 버프 스위트 인증서를 가져오려면 찾아보기 버튼을 클릭해야 한다.
버프 스위트 인증서인 cacert.der 파일을 선택 후 열기 버튼을 클릭한다.
버프 스위트 인증서를 다른 위치에 저장하도록 다음 버튼을 클릭한다.
버프 스위트 인증서는 신뢰할 수 있는 루트 인증 기관에 저장을 해야하므로 찾아보기 -> 신뢰할 수 있는 루트 인증 기관 -> 확인 순서대로 진행한다.·
신뢰할 수 있는 루트 인증 기간을 정상적으로 선택하면 하단과 같은 그림이 출력되며 다음 버튼을 클릭한다.
버프 스위트 인증서가 신뢰할 수 있는 루트 인증 기관에 저장했다는 메시지이다.
마침 버튼을 클릭하면 보안 경고가 출력되는데, 인증서를 설치를 할 것이므로 예 버튼을 클릭한다.
인증서를 정상적으로 설치하면 신뢰할 수 있는 루트 인증 기관 탭을 보면 버프 스위트 인증서가 정상적으로 등록되었다.
버프 스위트를 종료했다가 다시 실행 후 구글 사이트(https로 시작되는 사이트)에 접속해보면 인증서 에러 없이 잘 접속이 된다.
버프 스위트에서 Intercept is on 버튼을 클릭 후 구글 사이트에 접속해보면 패킷도 정상적으로 캡처된다.
▶ 안드로이드 프록시 설정 (Fiddler, BurpSuite)