Burp Suite Nasıl Kullanılır?

Burp Suite Nasıl Kullanılır ?

Web uygulaması güvenlik testine veya penetrasyon testine başlamak mı istiyorsunuz?

Her güvenlik araştırmacısının kendine göre kullandığı favori araçları vardır. Oluşturdukları favori listelerin çoğunda Burp Suite mutlaka ilk sırada yer alır. Bir web sitesini güvenlik açıkları açısından test etmeye başlamak için, hangi saldırı vektörlerinin mevcut olduğunu anlamak gerekir. Burp Suite, kapsamımızdaki her alanı listelememize izin verir. Ayrıca kullanıcı ile web sitesi arasında aracı olarak hareket ederek web sayfasıyla olan etkileşimleri değiştirmeye izin verir. 

Burp Suite Nedir? 

Burp Suite Nasıl Kullanılır ?

Burp Suite, web uygulaması güvenlik testi için kapsamlı bir platformdur. Web uygulamalarının detaylı sayımı ve analizi için kullanılabilir. Burp, HTTP/S isteklerini kolayca engelleyebilir ve kullanıcı ile web sayfaları arasında aracı görevi görebilir. Kullanıcı web’de gezinirken gerekli ayrıntılar web sitesinden alınır. Bu bilgiler, bir web uygulamasının güvenliği hakkında fikir sahibi olmamızı sağlar.  

Burp Suite Kurulumu 

1- Burp Suite dinleyecisinin etkin olduğundan emin olun. 

2- Burp’ü açın ve proxy —> seçenekler sekmesine gidin 

3- Proxy dinleyicisinin etkin olduğundan ve 127.0.0.1:8080 olarak ayarlandığını doğrulayın. 

4- Web Tarayıcısında Proxy yapılandırmasını tamamlayın. 

Burp Suite Nasıl Kullanılır ?
  • Firefox için; ayarlar –> genel ayarların en altında ağ ayarlarına tıklayın –>  Manuel Proxy yapılandırmasını seçin. Burp ile aynı proxy’ye ayarlandığını doğrulayın.  

Burp SSL Sertifikasının Kurulumu 

  • http://burp’a gidin ve sağ üstteki CA sertifikasına tıklayarak sertifikayı indirin. 
  • Firefoxta Ağ Güvenlik ayarları sayfasından sertifikalara tıklayın. 
Burp Suite Nasıl Kullanılır ?
  • İndirmiş olduğunuz sertifikayı içe aktarın ve tüm kutuları işaretleyin. 
Burp Suite Nasıl Kullanılır ?

Temel Özellikleri 

Burp Suite başlarken Intruder, Repeater ve Sequencer gibi bulunan genel sekmelere alışmalısınız.

  • Intruder: Burp Intruder ile web uygulamalarına karşı özelleştirilmiş saldırılar otomatikleştirilebilir. Saldırıları özelleştirmek, bir veya daha fazla veri yükü ve yüklerin web sitesinde yerleştirileceği konumu belirtmemizi gerektirir. 
  • Repeater: Tekrarlayıcı, manuel olarak manipüle edilen bireysel HTTP isteklerini tekrarlamak için kullanılabilir. Tekrarlayıcı ile tarayıcı ile ekstra bir işlem yapmadan parametreleri aynı sayfada deneyebilirsiniz. İstekleri belirli bir sırayla yayınlamak çok daha kolay hale gelir ve sayfanın her adımda değişen parametrelere nasıl tepki verdiğini gözlemleyebilirsiniz. 
  • Sequencer: Burp sıralayıcı, bir veri öğesi örneğindeki rastgele oluşan değerleri analiz etmek için kullanılabilir. Intruder, rastgele oluşturulan verileri, veri öğelerini test etmek için kullanılır. 

Burp ile uygulayabileceklerinizden bir örnek: 

  • Giriş sayfasına kaba kuvvet saldırısı: Bu örnekte vulnweb içindeki oturum açma sayfası için HTTP isteğini değiştirmek ve kullanıcı adı parola denemelerinde bulunmak için Intruder’ı kullanacağız.  
Burp Suite Nasıl Kullanılır ?
Burp Suite Nasıl Kullanılır ?
Burp Suite Nasıl Kullanılır ?

Gönderilen istek yukarıdaki gibidir. Gördüğünüz üzere şu an 302 hatası alıyoruz. Şimdi ise uname ve pass parametrelerini Intruder yardımıyla değiştireceğiz. Bunun için Proxy sekmesinden http history kısmına giriyoruz. Gönderilen isteği bulup sağ tıkladıktan sonra ‘Send to Intruder’ sekmesine tıklıyoruz. Aşağıdaki sekmeye ulaşabilmek için  positions’a tıklayabilirsiniz.  

Burada burp kendiliğinden 2 parametreyi de işaretlemiş. Farklı bir yerin değerini değiştirmek için metni seçtikten sonra solda bulunan add butonuna tıklamanız yeterlidir.

Şimdi saldırı tipini ‘Cluster Bomb’yapıyoruz. Bunun sebebi birden fazla yerde değişiklik yapmak istememiz. Ardından, payloads kısmına gelelim. Burada payload set 1(uname) ve set 2(pass) olmak üzere iki seçenek çıkacak. Aşağıdaki Payload options kısmından ister liste girebilirsiniz ister de şimdi yapacağımız gibi elle ekleme yapabilirsiniz. 

Burp Suite Nasıl Kullanılır ?

Gördüğünüz üzere username kısmı için 4 adet giriş yaptık, alt kısımda yazan ‘testi’ de yanındaki ‘add’ butonu sayesinde listeye ekliyoruz. ‘pass’ parametresi için de aynısını yapıyoruz. Sonrasında sağ üstten ‘Start atack’ butonuna tıklayarak saldırıyı başlatıyoruz. 

Burp Suite Nasıl Kullanılır ?

Tüm olasılıkları deneyerek ‘test:test’ kullanıcı adı parolasının doğru olduğunu bulduk. Şimdi gidip giriş yapmayı deneyelim. 

Burp Suite Nasıl Kullanılır ?

Başarıyla giriş yaptık. 

Tebrikler!

HTTP isteğini değiştirmek için Burp Suite kullanarak ilk saldırımızı gerçekleştirdik. Web Uygulama güvenliği testlerinde Burp kullanımı ile alakalı basit bir örnekti.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »