[TIP] Burp Suite 원하는 Request 패킷만 필터링

---

진단 업무를 수행하다보면 Burp History가 많이 남게되고
History가 너무 많게되면 분석하는데 어려움이 있다
그래서 접검 시에 원하는 패킷만 볼 수 있도록 하는 방법을 정리한다.
인터넷 속성 > Scope 내용 순으로 작성한다
25.06 추가) filter by search trem 기능 추가 작성

---

인터넷 속성

인터넷 속성에 메뉴 중 고급에  보면 예외라는 메뉴가 있으며 이 메뉴를 활용해 진단을 편하게 해보자

1. Win + r을 입력해 실행창을 열어 inetcpl.cpl 실행

2. 인터넷 속성 > 연결 > LAN 설정(L) > 고급 > 예외에 포함하고 싶지 않은 대상을 입력

3. 대상 입력 시 참고사항

• 여러개 일 경우 ; 로 구분
  • EX) naver.com; nate.net
• 서브 도메인이 포함되어야 할 경우 *를 활용
  • EX) naver.com; *.nate.net
• *.nate.net이 반영되지 않을 경우 그냥 풀 도메인 추가
  
  • EX) naver.com; *.nate.net; xxx.nate.net;
    

Scope 설정

특정 호스트와 파일명 IP Port등을 지정하여 포함 또는 비포함하여 패킷을 필터링하는 기능이다
경로는 구버전과 신버전에 따라 다르다.(글 작성은 신버전으로 진행)

• 구버전 : Target > Scope > scope
  
• 신버전 : Target > Scope > Scope setting

원하는 도메인만 필터링

1. 설정 경로에 진입하여 Use advanced scope control 활성화
활성화 하게되면 Protocol, Host IP range 등이 추가됨을 확인할 수 있음
 - 활성화 전

 - 활성화 후

2. history 에서 캡처하고 싶은 도메인에서 발생한 패킷 우클릭 후 Add to scope 클릭 후 팝업창 Yes 클릭

3 팝업창 Yes 클릭 후 Re-enable 클릭(의미는 모름)

4. 추가 한 후 파일이 아닌 도메인을 포함해야하기 떄문에 File 내용 제거
참고) 특정 파일만 출력하기 위해선 File 내용 제거하지 않고 그대로 사용하면 된다.

5. Proxy > HTTP history 메뉴 접근하여 Filter 클릭 후 Show only In-scope items 활성화

6. naver.com만 목록에 출력되는것을 확인할 수 있다.

 

특정 파일 비포함

naver.com 도메인이라고 가정했을때 도메인 중에서도 반복적으로 캡처되는 패킷이 있음
히스토리를 보고있는데 자꾸만 패킷이 올라와 귀찮게하기 떄문에 특정 파일을 포함하지 않는 방법을 정리한다.

• 위 방법(원하는 도메인만 필터링) 중 3번까지는 동일하다(올라갓다 오시길)
• Scope 메뉴에서 위 방법(원하는 도메인만 필터링)은 Include in scope를 설정하는 방법이였지만
  그 반대로 Exclude from scope는 포함하지 않겟다는 의미이다.

1. 예를 들어 tivan.naver.com/sc2/1/ 파일이 거슬린다고 가정한다.
2. HTTP history에서 화인되는 목록 우클릭하면 Copy URL 버튼이 보일것이다.

3. 아래 사진과 같이 Exclude from scope 에 입력 되었을 것이다.

4. 입력한 도메인과 파일은 패킷 History에 출력되지 않을것이다.

Scope에 입력된 대상만 Intercept

Scope에 등록된 대상은 History 말고 Intercept에도 활용할 수 있다.

• 구버전 경로 : Proxy >Options
• 신버전 경로 : Proxy > Proxy setting
  

 

1. Setting에 진입하게되면 Proxy listeners 메뉴가 보일거다 바로 밑에 Request interception rules와
Response interception rules 가 있다.
2. Request와 Response 설정 방법은 동일하므로 Request만 작성한다.
3. Request interception rules 메뉴 내 설정값 중 Relationship에 Is in targer scope가 보인다.
이 항목을 Enabled 해주면 된다.
 - 활성화 전

 - 활성화 후

Filter by search trem 설정

filter by search trem은 정규식과 문자열 검색 기능이 가능한 점을 확인하였는데 추가 기능이 있을 경우 업데이트하도록 할 예정이다.

1. filter 팝업 출력을 위해 빨간 박스를 클릭하면 Filter by search term 기능을 확인할 수 있다.

 

• 문자열 검색

1. 아래 증적과 같이 test를 입력하면 해당 문자열이 포함된 패킷만 출력된다.

 

• 정규식(Regex)

1. 정규식으로 GET, POST, PUT만 출력하도록 설정하는 예시

2. Filter by search term 입력란 밑에 Regex 체크(필수) 후 아래 정규식을 입력한다. 자바 기반 정규식으로 추가 기능을 원하는 경우 ChatGPT 활용을 추천한다.
 > 정규식 : ^(GET|POST|PUT).*

 

3. 위와 같이 설정할 경우 OPTIONS 등 설정하지 않은 메소드는 출력되지 않을 것