Molayo

© 2026 Molayo

X요약2026. 06. 15. 13:06

Burp Suite Professional은 좌석당 연간 475달러의 비용이 듭니다.

요약

Burp Suite Professional의 유료 기능을 대체할 수 있는 오픈 소스 HTTP 프록시 툴킷 'Hetty'가 소개되었습니다. Go 언어로 개발된 Hetty는 단일 바이너리로 실행되며, 보안 연구를 위한 가로채기, 편집, 재전송 등 핵심 기능을 무료로 제공합니다.

핵심 포인트

  • Burp Suite의 고가 비용을 대체할 수 있는 무료 오픈 소스 도구
  • Go 언어 기반의 단일 바이너리로 macOS, Linux, Windows 지원
  • HTTP 프록시, 요청 편집, 재전송 및 GraphQL 서비스 제공
  • 계정 생성이나 텔레메트리 없이 가볍고 독립적인 실행 가능

Burp Suite Professional은 좌석당 연간 475달러의 비용이 듭니다.

암스테르담의 한 시니어 소프트웨어 엔지니어가 사이드 프로젝트 (side project)로 오픈 소스 (open source) 대체제를 만들었습니다. 그는 이를 GitHub에 무료로 공개했습니다. 현재 10,569개의 스타 (stars)를 보유하고 있습니다.

그의 이름은 David Stotijn입니다. 이 소프트웨어의 이름은 Hetty입니다.

Hetty가 무엇인지 소개합니다.

보안 연구를 위한 HTTP 툴킷 (toolkit)입니다. 브라우저와 대상 (target) 사이에 위치하는 중간자 공격 프록시 (machine-in-the-middle proxy)입니다. 모든 요청 (request)과 모든 응답 (response)이 Hetty를 통해 흐릅니다. 여러분은 이를 읽고, 검색하고, 가로채고 (intercept), 편집하고, 재전송 (replay)하며, 다시 보낼 수 있습니다.

이것은 지금까지 수행된 모든 웹 애플리케이션 보안 테스트의 핵심 루프 (core loop)입니다. Burp Suite는 이에 대해 연간 475달러를 청구합니다. Hetty는 동일한 작업을 비용 없이 수행합니다.

기능 세트는 다음과 같습니다.

전체 로그 (logs)와 고급 검색 (advanced search) 기능을 갖춘 중간자 HTTP 프록시 (HTTP proxy). 수동으로 요청을 생성 및 편집하고, 이미 프록시를 거친 모든 요청을 재전송 (replaying)할 수 있는 HTTP 클라이언트 (HTTP client). 수동 검토를 위한 요청 및 응답 가로채기 (interception) 기능과 완전한 편집, 전송, 수신 및 취소 제어. 작업을 단일 대상에 집중할 수 있도록 돕는 스코프 (Scope) 지원. 브라우저에서 실행되는 웹 기반 관리 인터페이스 (web-based admin interface). 여러 작업 (engagements)을 분리하여 유지할 수 있는 프로젝트 기반 데이터베이스 저장소 (Project-based database storage). 프로그래밍 방식의 접근을 위한 GraphQL 서비스.

설치 프로그램은 단일 Go 바이너리 (Go binary)입니다. macOS, Linux, Windows에서 작동합니다. Java 런타임 (Java runtime)도, 엔터프라이즈 라이선스 서버 (enterprise license server)도, 기기 지문 인식 (machine fingerprinting)도, 텔레메트리 (telemetry)도 없습니다.

가격 단계는 다음과 같습니다.

Burp Suite Professional: 좌석당 연간 475달러.
Burp Suite Enterprise: 연간 수천 달러, 견적을 위해 영업팀에 문의.
Burp Suite Community Edition: 무료이지만 속도 제한이 있으며, 스캐너 (scanner), 프로젝트 저장 (project save), 인트루더 속도 (intruder rate) 기능이 없음.
OWASP ZAP: 무료 및 오픈 소스 (open source), 2024년 인수에 따라 현재 Checkmarx 소유.
Hetty: 0달러. 영원히. 단일 바이너리. 계정 불필요.

풀타임으로 근무하는 침투 테스트 전문가 (pentester) 한 명은 Burp에 연간 475달러를 지불합니다. 10명의 침투 테스트 전문가 팀은 연간 4,750달러를 지불합니다. 취약점을 하나라도 찾아내는 버그 바운티 헌터 (bug bounty hunter)는 이미 Burp 비용의 두 배를 지불한 셈입니다.

또는 암스테르담의 프리랜서가 작성한 30 MB 크기의 Go 바이너리 (binary)를 다운로드하여 자신들이 벌어들이는 모든 돈을 챙기기도 합니다.

David는 16개월 동안 새로운 커밋 (commit)을 올리지 않았습니다. 마지막 커밋은 2025년 1월 13일이었습니다. 기능이 완성된 도구에게는 이는 정상적인 일입니다. HTTP는 변하지 않았습니다. 프록시 (proxy)는 여전히 프록시 역할을 수행합니다. 인터셉트 (intercept)는 여전히 가로챕니다. MIT 라이선스 (MIT licensed) 코드는 유지 관리자가 휴식을 취한다고 해서 만료되지 않습니다.

도메인을 구매하세요. 버그를 찾으세요. 보상금을 챙기세요.

PortSwigger는 업계에서 무료로 쓰이던 도구를 가져와 475달러의 유료 장벽 (paywall) 뒤에 가두었습니다. 암스테르담의 한 프리랜서가 이를 모든 플랫폼에 0달러로 다시 돌려놓았습니다.

당신의 프록시. 당신의 바이너리. 당신의 보상금.

(링크는 댓글에)
[IMG:1]

AI 자동 생성 콘텐츠

본 콘텐츠는 X @heynavtoor (자동 발견)의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0