OzzTech - Burp Suite Nasıl Kullanılır?

Burp Suite Nasıl Kullanılır?

Burp Suite Nasıl Kullanılır ?

Web uygulaması güvenlik testine veya penetrasyon testine başlamak mı istiyorsunuz?

Her güvenlik araştırmacısının kendine göre kullandığı favori araçları vardır. Oluşturdukları favori listelerin çoğunda Burp Suite mutlaka ilk sırada yer alır. Bir web sitesini güvenlik açıkları açısından test etmeye başlamak için, hangi saldırı vektörlerinin mevcut olduğunu anlamak gerekir. Burp Suite, kapsamımızdaki her alanı listelememize izin verir. Ayrıca kullanıcı ile web sitesi arasında aracı olarak hareket ederek web sayfasıyla olan etkileşimleri değiştirmeye izin verir. 

Burp Suite Nedir? 

Burp Suite Nasıl Kullanılır ?

Burp Suite, web uygulaması güvenlik testi için kapsamlı bir platformdur. Web uygulamalarının detaylı sayımı ve analizi için kullanılabilir. Burp, HTTP/S isteklerini kolayca engelleyebilir ve kullanıcı ile web sayfaları arasında aracı görevi görebilir. Kullanıcı web'de gezinirken gerekli ayrıntılar web sitesinden alınır. Bu bilgiler, bir web uygulamasının güvenliği hakkında fikir sahibi olmamızı sağlar.  

Burp Suite Kurulumu 

1- Burp Suite dinleyecisinin etkin olduğundan emin olun. 

2- Burp’ü açın ve proxy ---> seçenekler sekmesine gidin 

3- Proxy dinleyicisinin etkin olduğundan ve 127.0.0.1:8080 olarak ayarlandığını doğrulayın. 

4- Web Tarayıcısında Proxy yapılandırmasını tamamlayın. 

Burp Suite Nasıl Kullanılır ?
  • Firefox için; ayarlar --> genel ayarların en altında ağ ayarlarına tıklayın -->  Manuel Proxy yapılandırmasını seçin. Burp ile aynı proxy’ye ayarlandığını doğrulayın.  

Burp SSL Sertifikasının Kurulumu 

  • http://burp’a gidin ve sağ üstteki CA sertifikasına tıklayarak sertifikayı indirin. 
  • Firefoxta Ağ Güvenlik ayarları sayfasından sertifikalara tıklayın. 
Burp Suite Nasıl Kullanılır ?
  • İndirmiş olduğunuz sertifikayı içe aktarın ve tüm kutuları işaretleyin. 
Burp Suite Nasıl Kullanılır ?

Temel Özellikleri 

Burp Suite başlarken Intruder, Repeater ve Sequencer gibi bulunan genel sekmelere alışmalısınız.

  • Intruder: Burp Intruder ile web uygulamalarına karşı özelleştirilmiş saldırılar otomatikleştirilebilir. Saldırıları özelleştirmek, bir veya daha fazla veri yükü ve yüklerin web sitesinde yerleştirileceği konumu belirtmemizi gerektirir. 
  • Repeater: Tekrarlayıcı, manuel olarak manipüle edilen bireysel HTTP isteklerini tekrarlamak için kullanılabilir. Tekrarlayıcı ile tarayıcı ile ekstra bir işlem yapmadan parametreleri aynı sayfada deneyebilirsiniz. İstekleri belirli bir sırayla yayınlamak çok daha kolay hale gelir ve sayfanın her adımda değişen parametrelere nasıl tepki verdiğini gözlemleyebilirsiniz. 
  • Sequencer: Burp sıralayıcı, bir veri öğesi örneğindeki rastgele oluşan değerleri analiz etmek için kullanılabilir. Intruder, rastgele oluşturulan verileri, veri öğelerini test etmek için kullanılır. 

Burp ile uygulayabileceklerinizden bir örnek: 

  • Giriş sayfasına kaba kuvvet saldırısı: Bu örnekte vulnweb içindeki oturum açma sayfası için HTTP isteğini değiştirmek ve kullanıcı adı parola denemelerinde bulunmak için Intruder’ı kullanacağız.  
Burp Suite Nasıl Kullanılır ?
Burp Suite Nasıl Kullanılır ?
Burp Suite Nasıl Kullanılır ?

Gönderilen istek yukarıdaki gibidir. Gördüğünüz üzere şu an 302 hatası alıyoruz. Şimdi ise uname ve pass parametrelerini Intruder yardımıyla değiştireceğiz. Bunun için Proxy sekmesinden http history kısmına giriyoruz. Gönderilen isteği bulup sağ tıkladıktan sonra ‘Send to Intruder’ sekmesine tıklıyoruz. Aşağıdaki sekmeye ulaşabilmek için  positions’a tıklayabilirsiniz.  

Burada burp kendiliğinden 2 parametreyi de işaretlemiş. Farklı bir yerin değerini değiştirmek için metni seçtikten sonra solda bulunan add butonuna tıklamanız yeterlidir.

Şimdi saldırı tipini ‘Cluster Bomb’yapıyoruz. Bunun sebebi birden fazla yerde değişiklik yapmak istememiz. Ardından, payloads kısmına gelelim. Burada payload set 1(uname) ve set 2(pass) olmak üzere iki seçenek çıkacak. Aşağıdaki Payload options kısmından ister liste girebilirsiniz ister de şimdi yapacağımız gibi elle ekleme yapabilirsiniz. 

Burp Suite Nasıl Kullanılır ?

Gördüğünüz üzere username kısmı için 4 adet giriş yaptık, alt kısımda yazan ‘testi’ de yanındaki ‘add’ butonu sayesinde listeye ekliyoruz. ‘pass’ parametresi için de aynısını yapıyoruz. Sonrasında sağ üstten ‘Start atack’ butonuna tıklayarak saldırıyı başlatıyoruz. 

Burp Suite Nasıl Kullanılır ?

Tüm olasılıkları deneyerek ‘test:test’ kullanıcı adı parolasının doğru olduğunu bulduk. Şimdi gidip giriş yapmayı deneyelim. 

Burp Suite Nasıl Kullanılır ?

Başarıyla giriş yaptık. 

Tebrikler!

HTTP isteğini değiştirmek için Burp Suite kullanarak ilk saldırımızı gerçekleştirdik. Web Uygulama güvenliği testlerinde Burp kullanımı ile alakalı basit bir örnekti.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.