Bu yazımızda pentest(sızma testi) tarafında sıklıkla kullanılan saldırı güvenlik aracı olan Burp Suite’ten bahsedeceğiz. Bu araç, özellikle web güvenliğinin denetlenmesinde, web uygulamalarındaki güvenlik açığı tespitinde kullanılır.Birçok güvenlik açığı türünün taranmasını içerir. SQL Injection, XSS (Cross-Site Scripting) ve CSRF(Cross-site Request Forgery) gibi güvenlik açıklarının belirlenmesinde etkilidir. Burp Suite Community ve Professional olmak üzere iki çeşidi vardır. Professional çeşidi ücretli ve daha sınırlı özelliklere sahiptir. Burp Suite Kali Linux’ta gömülü olarak bulunur.
TARGET BÖLÜMÜ
Hedef göstergesi bölümüdür. Gelen istekler ve onların özellikleri hakkında bilgi verir.3 alt kategoride gösterilir:
Site map: gönderdiğimiz istekler(request) ve ona dönen cevapları(response) gösterir. İstekler hakkında bilgi verir.
Scope: Bu bölüm bizim kapsama almak istediklerimizi belirler.Hangi URL ve alanların test edileceği belirlemenizi sağlar. Burada “include” ile etkileşim alanımızı belirli özelliklere indirgeyebilir ve “exclude” ile de kapsama almak istemediğiniz URL veya domainleri uzaklaştırabilirsiniz.
Issue Definitions: Bu kısım Burp Suite tarafından tespit edilen tüm zararlıların tanımlarını içerir ve onları risklerine göre derecelendirir.
PROXY BÖLÜMÜ
Web saldırılarında ve web sitelerindeki işlemlerde istek(request) ve cevap(respond) mantığı vardır. Proxy, istemci ile sunucu arasında köprü görevi görerek istekleri tutar ya da filtreler.
Intercept: Bu alt başlık atında göndermek istediğimiz isteğin “Intercept is on” (Intercept açık) seçeneği aktif olduğunda, proxy üzerinden geçen her HTTP veya HTTPS isteği Burp Suite tarafından yakalanır. Bu durumda, Burp Suite size her bir istek veya yanıtı inceleme ve gerekirse düzenleme imkanı verir. Forward dediğinizde isteği gönderir. Yani web trafiğini gerçek zamanlı olarak dinleme ve düzenleme fırsatı tanır.
HTTP History: Adından anlayacağımız gibi HTTP/HTTPS isteklerinin geçmişini kayıt altına alarak hata tespitinde ve güvenlik araştırmalarında veri kaydı sağlar.
WebSockets History: WebSocket, genellikle gerçek zamanlı veri iletimi için kullanılır.Çoğu web uygulaması, kullanıcı ile sunucu arasında hızlı ve sürekli bağlantı sağlamak için WebSocket kullanabilir. Burp Suite, bu tür bağlantıların kaydını tutarak veri elde etmenize olanak tanır.
INTRUDER BÖLÜMÜ
Burp Suit’te web uygulamalarındaki güvenlik açıklarını belirlemek için kullanılan saldırı aracıdır. Brute force veya input manipulation gibi test kısımlarında kullanılır. Burada öncelikle atak türünü seçmemiz gerekir:
Sniper : Yalnızca bir parametreyi test etmek için kullanılır. Bu parametre; URL, form veya başka bir HTTP parametresi olabilir. Bu saldırı türü, genellikle belirli bir güvenlik açığını test etmek için, yalnızca tek bir parametre üzerinde derinlemesine inceleme yapmak isteyen kullanıcılar tarafından tercih edilir.
Battering Ram: Belirli parametrelere birden fazla payload göndererek yapılan bir saldırı türüdür. Tüm parametrelere aynı payload’ı gönderir.
Pitchfork: Her parametreye farklı değerlerde payload dizileri atayarak, belirli bir parametre için farklı payload’ların sırasıyla denenmesini sağlar. Yani, her parametreye farklı bir payload seti atanır ve her set sırayla test edilir.Örneğin, bir web uygulamasındaki kullanıcı adı ve şifre alanlarını test etmek istiyorsanız, kullanıcı adı için bir payload listesi ve şifre için ayrı bir payload listesi seçebilirsiniz. Burp Suite, her iki parametre için farklı payload’ları sırayla gönderecektir.
Cluster Bomb: En güçlü ve karmaşık saldırılardan biridir. Birden fazla parametreyi hedef alırken, her parametreye farklı payload kombinasyonları göndererek yapılan bir saldırı türüdür. Bu saldırı türü, çoklu parametrelerin her birine farklı payload setlerini göndererek çok daha karmaşık ve kapsamlı bir test yapmamıza imkan tanır. Cluster Bomb, payload’ların parametreler arasındaki tüm kombinasyonlarını deneyerek olası güvenlik açıklarını keşfetmeye çalışır.
Burada küçük bir örnekle bu dört atak türünü anlamayı kolaylaştırmak isterim: Diyelim ki bir sitede güvenlik açığı tespiti için saldırıda bulunacağım. Buradaki parametrelerim de e-mail ve şifre olsun.
REPEATER BÖLÜMÜ
Aynı isteği birden çok kez düzenleyip göndermemize yarayan bölümdür. Proxy’de yakaladığımız bir isteği burada manuel olarak düzenleyebiliriz.
SEQUENCER BÖLÜMÜ
Rastgele ve tahmini zor saldırılara karşı alınabilecek tedbirlerde kullanılır. Güvenlik tokenları ve çerezleri denetleyerek, analiz etmeye yardımcı olur.
DECODER BÖLÜMÜ
Web güvenliği testlerinde karşılaşılan şifreli veya kodlanmış verilerin çözülmesi için kullanılan bir araçtır. Bu veriler test edilirken, Decoder aracılığıyla şifrelenmiş/ kodlanmış içerikler çözülerek okunabilir hale getirilir.
COMPARER BÖLÜMÜ
İki veya daha fazla verinin karşılaştırılmasını sağlar. İstek ve yanıtların kıyaslamasını yaparak, analizini sağlar.
EXTENDER ÖZELLİĞİ
Extender ile Burp Suite’i kişiselleştirebilir ve özelleştirebiliriz. İstediğimiz eklentileri buradan sağlayabilir ve fonksiyonlarını genişletebiliriz.
Burp Suite özelliklerini öğrenmiş olduk, bir sonraki yazımızda bir vaka üzerinden Burp Suite kullanımını anlatacağım.
