Caido

2026. 6. 26. 18:28·[일상]
반응형

Caido에 대한 한국 자료가 별로 없어 작성한 글 입니다.


Caido?

Caido는 Burp suite의 대안으로 설계된 웹 보안 테스팅 도구입니다.

 

Rust로 개발되어 빠른 성능과 안전성을 제공하며, 직관적인 UI/UX와 강력한 자동화 기능이 특징입니다.

 

주요 특징

  • Rust 기반으로 메모리 안전성과 고성능 보장
  • 네이티브 데스크톱 앱
  • 로컬 실행으로 데이터 프라이버시 보장 →이전 데이터 파일 형식으로 불러오는게 가능
  • 멀티스레드 처리로 대용량 트래픽 효율적 처리 ( = 속도가 매우 빠름)

Burpsuite VS Caido

Burp 장/단점

장점

  1. 업계 표준 도구
  2. 커뮤니티 활성화 (= 참고할 자료가 많음)
  3. OWASP TOP 10 커버리지 우수

단점

  1. Java 기반으로 메모리 사용량 높음
  2. 구식 UI, 초기 설정 복잡
  3. 프로 버전 아니면 기능이 많지 않음
  4. 속도 느림

Caido 장단점

장점

  1. 빠른 성능 및 낮은 리소스 사용
  2. 모던하고 직관적인 UI
  3. JavaScript 기반 자동화로 접근성 향성
  4. 협업 기능

단점

  1. 커뮤니티가 적음
  2. 자동 스캐너 기능 약함
  3. 학습 자료 제한적
단축키
Ctrl + K → Command Palette (모든 기능 검색)
Ctrl + P → 프로젝트 전환
Ctrl + , → Settings
Ctrl + / → 단축키 도움말
Ctrl + Tab → 탭 전환
Ctrl + W → 탭 닫기

 

Buprsuite VS Caido
항목 Buprsuite Caido
개발 언어 Java Rust
성능 메모리 집약적, 느린 시작 빠른 실행, 효율적 메모리 사용
UI/UX 클래식, 학습 곡선 높음 모던, 직관적
자동화 Macro, Extension (Python, JAVA) JavaScript 워크 플로우, 플로그인
협업 제한적 협업 지원
WebSocket 제한적 지원 네이티브 지원
플로그인 생태계 방대함 (BApp Store) ...
스캐너 강력한 자동 스캔 (Pro 기준) 기본 스캔, 워크플로우로 확장 가능
학습 자료 많음 적음

 


핵심 기능 소개

먼저 Overview에 있는 기능들부터 설명하겠습니다.

 

Sitemap

  • 방문한 사이트의 구조를 트리형태로 보여줌
  • 타겟의 페이지 구조를 한눈에 확인할 수 있어 유용

Filters

  • HTTP 요청 중 특정 조건(응답 코드, 키워드 등)만 골라서 볼 수 있음
  • HTTP History 창에서 원하는 필터링 조건을 걸어 사용 가능

예시로 google.com 트래픽 필터링을 해보겠습니다.

먼저 filters 페이지에서 req.host.notcontain: "google.com" 으로 설정
HTTP History 탭에서 페이지 상단에 저장해놓은 filter 설정

 

다음은 Proxy의 기능들에 대해 살펴보겠습니다.

Intercept

  • 브라우저와 서버 사이의 통신을 중간에 가로채는 기능
  • Request는 물론 Response와 WebSocket 통신까지 한 화면에 캡처 가능

HTTP History

  • 모든 HTTP 요청과 응답 기록을 확인
  • 상단 조건창에서 다양한 조건을 걸어 빠르게 원하는 트래픽만 확인 가능

api 키워드는 포함하고 google.com은 제외함

Match & Replace

  • 특정 요청이나 응답의 내용을 자동으로 바꿔줌
  • BugBounty (버그바운티) 참가시 Caido에서 나가는 Intercept, Automate 요청에다가 헤더를 붙힐 수 있음

설정 후 Update 버튼을 클릭하고 Intercept 탭에서 확인한 결과 맨 아래 요청 헤더가 추가된 것을 확인 가능

 

다음은 Testing 의 기능들을 살표보겠습니다.

 

Replay

  • 특정 요청의 헤더나 바디를 수정해서 보낼 수 있음
  • Burp에서의 Repeater 기능과 동일

Method를 GET → POST로 바꿨더니 다른 반응

 

Automate

  • Fuzzing, Broute-force 자동화
  • Burp에서의 Intruder 기능
  • Sequential, parallel, Matrix로 나뉘어짐

ID 블록: test, admin, user 진행 / pass블록: test, admin, user, pass, Password 진행

  • 두 리스트의 내용으로 나오는 모든 조합을 실행해 요청을 보냄
  •  응답차이를 통해 계정을 확인 가능

Workflows

  • 복잡한 테스트 과정을 자동화
  • JS 코드를 통해서 원하는 Task들을 자유롭게 수행 가능

/api/v1/user에서 GET → POST로 body에는 username과 password를 넣어 요청

  • 1번 블록: request 발생 시
  • 2번 블록: 만약 path=/api/v1/user 이면서 method=GET이라면 3번 아니라면 끝냄
  • 3번 블록: method를 POST로 바꾸고 body에 "username=test&password=test" 를 넣어 전송하고 findings에 기록
  • 4번 블록: workflow를 끝냄

findings에 workflow가 성공적으로 실행된 내용이 기록

 

다음은 Logging 에서 기능들을 살펴보겠습니다.

Search

  • 전체 기록에서 특정 문자열 검색
  • HTTP History보다 더 자세한 검색이 가능

Findings

  • 발견된 취약점이나 중요한 메모를 기록하고 관리
  • 중요한 요청을 title, description과 함께 따로 빼놓을 수 있어 유용


 

반응형

'[일상]' 카테고리의 다른 글

[WHS] 화이트햇 스쿨 4기 합격 후기  (2) 2026.06.08
'[일상]' 카테고리의 다른 글
  • [WHS] 화이트햇 스쿨 4기 합격 후기
y3onbug5
y3onbug5
y3onbug5 님의 블로그 입니다.
  • y3onbug5
    y3onbug5 님의 블로그
    y3onbug5
  • 전체
    오늘
    어제
    • 분류 전체보기 (173)
      • [일상] (2)
      • Alpacahack (19)
      • Dreamhack 워게임 (49)
        • Lv.1 (40)
        • Lv.0 (4)
        • LV.2 (3)
        • LV.3 (2)
      • [Dreamhack] Web Beginner (3)
      • [Dreamhack] Web Hacking (17)
        • 웹 기초 지식 (4)
        • Cookie & Session (2)
        • Cross-Site Scripting(XSS) (1)
        • Cross-Site Request Forgery (1)
        • SQL Injection (4)
        • NoSQL Injection (2)
        • Command Injection (1)
        • File Vulnerability (1)
        • Server-Side Request Forgery (1)
      • [Dreamhack] Web Hacking Client-Side (10)
        • XSS Filtering Bypass (2)
        • Content Security Policy (CSP) (2)
        • CSRF,CORS Bypass (2)
        • Client-Side Template Injection (CSTI) (1)
        • CSS Injection (1)
        • Relative Path Overwrite (RPO) (1)
        • DOM Vulnerability (1)
      • [Dreamhack] Web Hacking Server-Side (15)
        • SQL Injection Advanced (4)
        • SQL Injection Advanced - Fingerprinting (2)
        • NoSQL Injection Advanced (3)
        • Command Injection Advanced - Web Servers (3)
        • File Vulnerability Advanced - Web Server (3)
      • [Dreamhack]Black-Box Penetration Testing (15)
        • DreamCommunity Penetration Testing (11)
      • [Dreamhack] LLM (2)
        • [Dreamhack] LLM과 프롬프트 엔지니어링 (2)
      • Web 공부 (4)
      • Web Study (18)
      • JavaScript (17)
        • 기초 (12)
        • 중급 (4)
      • [Security First] web 기초교육 (1)
      • [WHS] 수업 (1)
  • 블로그 메뉴

    • 홈
    • 태그
    • 방명록
  • 링크

  • 공지사항

  • 인기 글

  • 태그

    alpacahack
    드림핵
    bob
    webstudy
    JavaScript
    화이트햇스쿨
    cve
    JS
    web
    webhacking
    web hacking
    hacking
    CSRF
    tool
    Caido
    Web Study
    DreamHack
    xss
    burpsuite
    LLM
  • 최근 댓글

  • 최근 글

  • hELLO· Designed By정상우.v4.10.5
y3onbug5
Caido
상단으로

티스토리툴바