직접 개발한 크롬 확장 프로그램 "PenSur(Pentest Support)" 를 소개하려고 합니다.
웹 보안 점검을 조금 더 쉽고 안전하게 하고 싶은 마음에서 개발하게 되었습니다.
왜 PenSur를 만들었을까? 🤔
모의해킹을 하다 보면, 생각보다 자잘하고 반복적인 작업이 많습니다.
예를 들면...
- 요청 파라미터 및 JSON 데이터 안의 문자열을 인코딩하거나 디코딩해야 할 때
- 해싱된 비밀번호를 분석하면서 Salt 적용 여부를 확인해야 할 때
- JWT 토큰의 만료 시간을 빠르게 변환해서 세션 만료 여부를 체크해야 할 때
- PoC 수준으로 빠르게 취약점을 확인해야 할때 등등
이런 일들을 매번 외부 웹 사이트에서 처리하면 민감한 데이터가 유출될 위험도 있죠.
취약점 점검 도구 인 Burp Suite 내 Decoder 기능을 사용할 수 있지만 옵션에 따라 결과가 16진수 기반 이스케이프로 표시되어 가독성이 떨어질 때가 있으며,
또한 단순 인코딩/디코딩을 하기 위해 Burp Suite를 실행해야 하는 귀찮음이 종종 존재했습니다.
그래서 저는 “이런 기능들을 크롬 브라우저 안에서, 안전하게 바로 처리할 수 있다면 얼마나 편할까?” 하는 생각을 했습니다. 그 결과물이 바로 PenSur입니다.
실제 사용 모습 👀
PenSur는 브라우저에서 확장 프로그램을 클릭하면 바로 실행됩니다.
Encoder / Decoder / Hasher / Timestamp / Cheat Sheet 메뉴로 구분되어 있어 원하는 기능을 바로 선택할 수 있습니다.
Before-After 창으로 나눠져 있어, 결과를 직관적으로 확인할 수 있습니다.
Cheat Sheet 메뉴는 점검할 때 바로 복사해 활용할 수 있습니다.
PenSur에서 할 수 있는 것들 ✨
PenSur는 보안 점검에서 자주 쓰이는 기능들을 하나의 확장 프로그램에 담았습니다.
🔄 문자열 인코딩 / 디코딩
URL, HTML, Base64, Unicode 방식을 지원합니다.
원본 문자열을 인코딩해서 보거나, 반대로 디코딩해서 원래 값으로 복원할 수 있습니다.
예시)
Before
 | After
 |
Before | After |
🔑 해싱 기능
MD5, SHA-1, SHA-256 등 주요 해시 알고리즘을 지원합니다.
입력한 문자열을 다양한 방식으로 해싱해 결과를 바로 확인할 수 있습니다.
예시)
Before | After |
Before | After |
🕒 Unix 타임 변환
Unix 타임 ↔ 한국 시간(KST) 변환을 양방향으로 지원합니다.
특히 JWT 토큰 만료 시간 확인할 때 유용합니다.
예시: 1745145169 → 2025-04-20 19:32:49 [KST]
Unix Time → Time | Time(KST) → Unix Time |
🧩 취약점 PoC 코드 치트 시트
자주 쓰이는 XSS, SQL Injection, 파일 다운로드 공격 코드를 미리 정리해둔 치트 시트를 제공합니다.
테스트할 때 복붙만 해도 바로 활용할 수 있죠.
XSS PoC | SQL injection PoC |
File Download PoC
 |
|
PenSur를 쓰면 좋은 점 ✅
문자열 인코딩/디코딩할 경우 별도의 툴을 실행하지 않아도 된다는 점, 외부 사이트를 이용하지 않아 보다 안전하게 사용할 수 있다는 점에서 실무에서 작업 효율이 올라가더라구요
마무리 ✍️
PenSur는 거창한 툴은 아니지만, 보안 점검을 하면서 “이거 있으면 좋겠다” 싶었던 기능들을 모아둔 결과물입니다.
앞으로도 기능을 보강해서, 더 많은 보안 전문가들이 활용할 수 있는 실무형 확장 프로그램으로 발전시켜 나가고 싶습니다.
혹시 관심 있으신 분들은 한번 사용해보시고, 피드백도 주시면 감사하겠습니다! 🙏
직접 개발한 크롬 확장 프로그램 "PenSur(Pentest Support)" 를 소개하려고 합니다.
웹 보안 점검을 조금 더 쉽고 안전하게 하고 싶은 마음에서 개발하게 되었습니다.
왜 PenSur를 만들었을까? 🤔
모의해킹을 하다 보면, 생각보다 자잘하고 반복적인 작업이 많습니다.
예를 들면...
이런 일들을 매번 외부 웹 사이트에서 처리하면 민감한 데이터가 유출될 위험도 있죠.
취약점 점검 도구 인 Burp Suite 내 Decoder 기능을 사용할 수 있지만 옵션에 따라 결과가 16진수 기반 이스케이프로 표시되어 가독성이 떨어질 때가 있으며,
또한 단순 인코딩/디코딩을 하기 위해 Burp Suite를 실행해야 하는 귀찮음이 종종 존재했습니다.
그래서 저는 “이런 기능들을 크롬 브라우저 안에서, 안전하게 바로 처리할 수 있다면 얼마나 편할까?” 하는 생각을 했습니다. 그 결과물이 바로 PenSur입니다.
실제 사용 모습 👀
PenSur는 브라우저에서 확장 프로그램을 클릭하면 바로 실행됩니다.
Encoder / Decoder / Hasher / Timestamp / Cheat Sheet 메뉴로 구분되어 있어 원하는 기능을 바로 선택할 수 있습니다.
Before-After 창으로 나눠져 있어, 결과를 직관적으로 확인할 수 있습니다.
Cheat Sheet 메뉴는 점검할 때 바로 복사해 활용할 수 있습니다.
PenSur에서 할 수 있는 것들 ✨
PenSur는 보안 점검에서 자주 쓰이는 기능들을 하나의 확장 프로그램에 담았습니다.
🔄 문자열 인코딩 / 디코딩
URL, HTML, Base64, Unicode 방식을 지원합니다.
원본 문자열을 인코딩해서 보거나, 반대로 디코딩해서 원래 값으로 복원할 수 있습니다.
예시)
user=admin&role=editor → user%3Dadmin%26role%3Deditor (URL 인코딩)
<script>alert()</script> → <script>alert()</script> (HTML 디코딩)
🔑 해싱 기능
MD5, SHA-1, SHA-256 등 주요 해시 알고리즘을 지원합니다.
입력한 문자열을 다양한 방식으로 해싱해 결과를 바로 확인할 수 있습니다.
예시)
password → 5f4dcc3b5aa765d61d8327deb882cf99 (MD5)
password → 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 (SHA-256)
🕒 Unix 타임 변환
Unix 타임 ↔ 한국 시간(KST) 변환을 양방향으로 지원합니다.
특히 JWT 토큰 만료 시간 확인할 때 유용합니다.
예시: 1745145169 → 2025-04-20 19:32:49 [KST]
🧩 취약점 PoC 코드 치트 시트
자주 쓰이는 XSS, SQL Injection, 파일 다운로드 공격 코드를 미리 정리해둔 치트 시트를 제공합니다.
테스트할 때 복붙만 해도 바로 활용할 수 있죠.
PenSur를 쓰면 좋은 점 ✅
외부 툴에 민감한 데이터를 맡기지 않아도 돼서 보안성↑
브라우저 내에서 바로 실행하니 속도↑
자주 쓰는 기능을 한곳에 모아둬서 편의성↑
문자열 인코딩/디코딩할 경우 별도의 툴을 실행하지 않아도 된다는 점, 외부 사이트를 이용하지 않아 보다 안전하게 사용할 수 있다는 점에서 실무에서 작업 효율이 올라가더라구요
마무리 ✍️
PenSur는 거창한 툴은 아니지만, 보안 점검을 하면서 “이거 있으면 좋겠다” 싶었던 기능들을 모아둔 결과물입니다.
앞으로도 기능을 보강해서, 더 많은 보안 전문가들이 활용할 수 있는 실무형 확장 프로그램으로 발전시켜 나가고 싶습니다.
혹시 관심 있으신 분들은 한번 사용해보시고, 피드백도 주시면 감사하겠습니다! 🙏
최민수 | cms@cela.kr