보안 작업의 조용한 진실: 웹 펜테스팅 (Web Pentesting)의 가장 중요한 도구

보안 작업에는 조용한 진실이 하나 있습니다. 웹 펜테스팅 (Web Pentesting)에서 가장 중요한 단 하나의 도구는 어떤 AI 스캐너나 제로데이 (Zero-day) 마법이 아닙니다. 그것은 바로 브라우저와 대상 사이에 위치하여 모든 요청을 수동으로 읽고, 편집하고, 재전송 (Replay)할 수 있게 해주는 프록시 (Proxy)입니다.

업계 표준 도구는 사용자당 연간 475달러의 비용이 듭니다.

암스테르담의 소프트웨어 엔지니어인 David Stotijn은 사이드 프로젝트로 오픈 소스 버전을 구축하여 GitHub에 전체를 공개했습니다. 이름은 Hetty이며, 가로채기 (Intercept), 검사 (Inspect), 수정 (Modify), 재전송 (Replay), 전체 프록시 히스토리 검색과 같은 핵심 루프를 단일 Go 바이너리 (Go binary)로 수행합니다. Java 런타임도 필요 없고, 라이선스 서버도, 계정도, 텔레메트리 (Telemetry)도 없습니다.

제가 계속 생각하게 되는 디테일은 이것입니다: 마지막 커밋이 1년 이상 전이었지만, 그것은 방치가 아니라 HTTP가 변하지 않았기 때문에 그대로 머물러 있는 기능 완성형 (Feature-complete) 도구라는 점입니다. 프록시는 여전히 프록시 역할을 합니다. 유료 결제 방식이었다면 이미 라이선스가 만료되었겠지만, MIT 라이선스 코드는 그저 계속 작동할 뿐입니다.

출시 첫날부터 상용 제품의 기능을 앞지를 수는 없을 것입니다. 자동화된 스캐너도 없고 아직 초기 단계니까요. 하지만 버그 바운티 헌터 (Bug bounty hunter)에게 계산은 냉혹합니다. 단 하나의 바이너리와, 당신의 첫 버그 바운티 수익보다 더 비싼 구독료 사이의 선택이니까요.

흥미로운 점은 단순히 "무료 Burp"라는 사실이 아닙니다. 정보 보안 (Infosec) 도구들이 울타리가 쳐지기 전 수년간 커뮤니티에 의해 구축되었다는 점, 그리고 한 개인이 그 조각 중 하나를 조용히 다시 돌려주었다는 점입니다.

이름은 Hetty입니다. MIT 라이선스입니다.

링크는 댓글에 있습니다 ↓
[IMG:1]