[TOOL] Fiddler 플러그인

필요성

처음 모의해킹을 시작할 당시, 프록시 도구로 Fiddler를 사용했었다. 이후, 다양한 기능을 지원하는 Burp suite로 이동했지만 심플한 UI를 가진 Fiddler로 다시 넘어왔다.

본 포스팅에서는 Burp suite에서 Fiddler로 넘어오면서 아쉬웠던 점을 조금이나마 충족시킬 수 있는 Fiddler 플러그인을 사용해보고 추천하고자한다.

Traffic Differ

추천도: 1

플러그인 다운로드 시 [Differ]라는 탭이 생성된다. Fiddler에서 캡처 후 저장한 두개의 *.SAZ 파일을 확장자에 따라 보기좋게 정렬해준다.

서로 다른 캡처 파일의 패킷을 선택하고 "Compare Selected Session"를 클릭할 경우 Windiff라는 프로그램을 통해 Request와 Response 패킷을 비교하여 표시한다.

Fiddler에 이미 Compare 기능이 존재하는데 굳이 필요할까 싶긴하다..

Traffic Differ 실행 화면

출처: https://www.telerik.com/fiddler/add-ons

CertMaker for iOS and Android

추천도: 3

모바일 기기에서 Fiddler가 제공하는 기본 인증서가 동작하지 않을 경우, 해당 플랫폼과 호환되는 인증서로 변경해주는 역할을 수행한다. 모바일 환경에서 인증서 관련 이슈로 HTTPS 패킷을 캡처하지 못하는 경우 사용해볼만 하다.

설치 시 HTTPS 캡처 옵션관련 내용이 변경됨

출처: https://www.telerik.com/fiddler/add-ons

EKFiddle

추천도: 5

Github에서 Fiddler 관련 플러그인으로 가장 많은 추천(별)을 받은 만큼 강력하고 다양한 기능을 지원한다. 기존 Fiddler 기능에서 추가되거나 새롭게 지원하는 기능들이 있다.

• 찾기(Search): IP address 찾기가 추가 되었으며, 결과가 매칭되는 패킷의 변호를 출력하고 해당 패킷만을 선택하여 즉시 저장할 수 있다.

  

  EKFiddel Search 사용예

•  Advanced UI 기능 지원: Fiddler에서 기존 제공하는 UI외 Server IP, Server Type, CMS, SHA256, Method 등의 정보를 UI 화면에서 즉시 확인이 가능하다. 

Default UI

Advanced UI

 

• 추가 작업: 특정 패킷에 대한 작업 수행 시 기존 Fiddler 기능 외 다양한 기능들이 추가되었다. 특히, "Connect-the-dots" 기능은 웹 세션간의 흐름을 시각화해서 보여주기 떄문에 트래픽을 추적하는데 유용하게 쓰인다.

특정 패킷 선택 후 마우스 우클릭 이벤트

위 기능 외에도 정규 표현식, 필터, Fake Referer 등의 기능이 있으니 관심이 있다면 사용해보는 것을 추천한다.

이외 기능들

출처: https://github.com/malwareinfosec/EKFiddle

 

Fiddler-FPlug

추천도: 4

FPlug 메인화면

EKFiddle과 일부 중복되는 기능이 존재하지만 FPlug의 장점을 꼽자면 3가지 정도가 있다.

• 프로젝트 단위로 관리: 관리 혹은 찾고자 하는 콘텐츠를 프로젝트 단위로 관리할 수 있다.  아래 그림 우측의 "Host", "File" "Https", "Header"  등은 모두 프로젝트 관리할 수 있기 때문에 정확한 설정을 초기에 해둔다면 분석이 편리하다. (FPlug를 끄면 이전 패킷에 대해서는 프로젝트 설정이 적용되지 않음)

Host 프로젝트 설정 에

• Header Replace: 특정 URL에 대한 Request, Response에 대한 Header에 값을 추가하거나 변경하는 작업을 자동화할 수 있다.
• Console Log: 일반적으로 콘솔 로그를 확인하기 위해서는 브라우저의 개발자 도구를 이용하게 되는데 번거러움이 존재하는데 FPlug는 자체적으로 콘솔 로그를 제공한다.

FPlug의 Console Log

위 기능 외에도 FPlug Github에 사용방법이 보기 편하게 정리되어 있으니 참고하는 것을 추천한다.

출처: https://github.com/Ke1992/Fiddler-FPlug

BurplikeInspector

추천도: 5

Burp suite에서 Fiddler로 넘어오는 사람이 가장 불편했던 점이 무엇일까? 아무래도 Burp suite에 존재하였던 Intruder와 Repeater가 존재하지 않는다는 점일 것이다.

(Fiddler에는 composer가 존재하나 써보면 알겠지만 불편하다..)

BurplikeInspector는 말 그대로 Burp suite에서 사용하던 기능들 일부를 Fiddler 플러그인으로 적용한 것이라 볼 수 있다.

Github가 아닌 개인의 사이트에서 관리하는 것으로 보여지는데, 해당 플러그인 외에도 다양한 툴을 만드는것을 보여진다.

해당 dll 파일을 이동("*/script/"에l)후 실행시킨 결과는 아래와 같다.

BruplikeInspector 설치 후 Fiddler 실행

Burp sutie와 유사하여 편할 것 같지만, Fiddler의 QuickExec(ALT+Q)와 Filter 기능을 이용하면 위 기능보다 빠르고 편리하게 사용할 수 있다. (그냥 팝업을 끄자)

패킷을 선택하면 "Intruder", "Repeater" 기능이 보인다.

패킷 선택 후 우클릭

"Send to Intruder"를 클릭하면 Burp suite의 Intruder와 매우 유사한 UI를 가지고 있는 것을 확인할 수 있다. (물론 동일하게 동작한다) [Payloads] 탭을 클릭하면 기존에 등록되어 있는 구문들이 있는데 지우고 사용하면 된다.

BurplikeInspector의 Intruder

"Send to Repeater"를 클릭하면 Burp suite의 Repeater 기능을 가진 팝업이 출력된다. 앞서 언급한 바와 같이 Fiddler에도 Composer가 존재하나 사용해본다면.. 이 Repeater를 사용하게 될 것이다.

BurplikeInspector의 Repeater

출처: http://yamagata.int21h.jp/tool/

마치며..

생각보다 웹 점검에 유용한 Fiddler 플러그인이 많이 없었다. 필자가 찾은 플러그인 외에도 유용한 플러그인 들이 있을 것으로 예상된다. 개인적으로는 EKFiddle와 BurplikeInspector를 사용하는 것으로도 Fiddler에서도 웹 진단을 수행하는데 무리가 없을 것으로 생각된다.

추후 Fiddler 플러그인을 개발하는 과정에 대해서도 포스팅할 예정이다. Fiddler를 사용하며 아쉬웠던 기능들이 있다면 댓글로 남겨주길 부탁드린다.