EN
EN

Burp Suite Nedir ?

29 Kasım 2021


Burp Suite; web uygulama güvenliğini test etmek için kullanılan bir platformdur. PortSwigger şirketi tarafından geliştirilmiş ve Java programlama diliyle yazılmıştır. Grafik arayüzü olduğu gibi terminal aracılığı ile de platforma erişim sağlanabilir.

PortSwigger, Burp Suite kullanıcılarına 3 farklı sürüm sunar. Bunlar: Burp Suite Community, Burp Suite Professional ve Burp Suite Enterprise’dır. Comminity sürümü olup, Professional ve Enterprise sürümlerine göre daha sınırlı özelliğe sahiptir.

Burp Suite, Kali Linux dağıtımı üzerine kurulu olarak gelmektedir. Farklı sistem üzerine kurulum için: https://portswigger.net/burp/releases/professional-community-2021-62?requestededition=community  bağlantısın üzerinden erişim sağlanıp, uygun sürüm ve işletim sistemi seçilerek indirilir.

Burp Suite’in birçok faklı araç mevcuttur. Bunlar: Target, Proxy, Intruder, Repeater, Sequencer, Decoder, Comparer, Extender’dır.

Burp Suite Arayüzü

Bu makale anlatımında Kali Linux 2021.1 dağıtımı ve Burp Suite Community 2021 sürümü kullanılmıştır. Uygulamalar bölümünden ya da terminal ekranından Burp Suite platformuna giriş yaptıktan sonra karşımıza “Proje Oluşturma” ekranı gelmektedir. “Temporary project” seçeneği ile geçici bir proje oluşturulur. “New project on disk” seçeneği ile yapılan proje disk üzerine kaydedilir. “Open existing project” seçeneği ile mevcut bir proje üzerinde uygulama yapılır. Community sürümünde sadece “Temporary project” seçeneği mevcuttur. “Next” seçeneğine tıklanır.

“Konfigürasyon” ekranında “Use Burp defaults” seçeneği seçilerek Burp Suite varsayılan yapılandırma dosyaları kullanılabilir ya da “Load from configuration file” seçeneği ile mevcut yapılandırma dosyası üzerinden yükleme işlemi yapılır. “Next” seçeneğine tıklanır.

Burp Suite ana ekranı aşağıdaki gibidir. Önceki bölümde verilmiş olan modüller görüntülenmektedir.

En sık kullanılan “Proxy”, “Intruder” ve “Repeater” sekmeleridir. Makalede bu alanlar detaylı bir şekilde ele alınmıştır.

Burp Suite - Target

“Site map”, hedef ile ilgili sunucudan dönen cevapları bu sekmede görüntülenir.

1. Hedef site üzerindeki bağlantıları, dosya adlarını görüntüleme alanı.

2. Gönderilen istek ile ilgili var olan bütün parametreler bu alanda görüntülenir. 3. Request, istemciler çıkan istekler bu alanda görüntülenir.

4. Responce, sunucudan dönen cevaplar bu alanda görüntülenir.

5. Request ve responce arasında arama yapılan alan. 6. Filtreleme işlemlerinin yapıldığı alan. Diğer alanlar için filtreler de mevcuttur.

“Scope “, Hedef kapsam yapılandırması bu sekmede yapılır. Asıl incelenmek istenen hedef bağlantısı bu alana girilir.

Burp Suite- Proxy

Proxy sekmesi Burp Suite’i Proxy olarak kullanmamıza olanak tanır.

“Intercept” alanında gelen ve giden istek yapısı kontrol edilir. “İntercept is on” durumunda olduğu zaman istemciden çıkan isteği görüntülemek için kullanılır. “İntercept is off” durumunda olduğu zaman Burp Suite aracı Proxy olarak kullanılamaz.

“Http history” alanında hedef üzerinde yapılan tüm işlemlere ait bağlantı bilgileri görüntülenir.

“Options”, istemci ile sunucu arasındaki bütün ayarlamaların yapıldığı alan. “Proxy Listeners” alanında dinlenecek olan localhost adresi ve 8080 portu varsayılan olarak gelmektedir. Burp Suit ile Https sitelerini görüntülemek istenildiğinde sertifika hatası oluşur. Bu durumu ortadan kaldırmak için “Import/export CA certificate” seçeneğine tıklanarak yapılandırma işlemi yapılması gerekmektedir.

Açılan pencerede “Certificate in DER format” seçeneği seçilerek “Next” seçeneğine tıklanır.

Kaydetmek istediğimiz dizini belirterek “burp.cer” şeklinde kaydediyoruz. “Next” seçeneğine ve ardından “Close” seçeneğine tıklayarak çıkılır.

Burp Suite tarafında yapılan işlemleri tarayıcıya tanıtılması gereklidir. Bu makalede Firefox tarayıcısı kullanılmaktadır. Firefox ayarlara girilerek “Privacy & Security (Gizlilik ve Güvenlik)” sekmesine ardından “View Certificates (Sertifikaları Görüntüle)” seçeneğine tıklıyoruz.

Açılan pencerede “Authorities (Yetkililer) → Import” seçeneğine girilir. Kayıt edilen dizinde sertifika seçilir.

“Trust this CA to identify websites. (Web sitelerini tanımlamak için bu CA'ya güvenin.)” seçeneğine tıklanır.

Sertifika tanımlama işlemi tamamlandıktan sonra Burp Suite şirketi sahibi ekranda çıkmaktadır. “PortSwigger Ca → OK” seçenekleri seçilerek sertifika tanımlama işlemi tamamlanmış olur.

Tarayıcı Proxy ayarı yapıldıktan sonra bütün trafik Proxy üzerinden geçmektedir. Tarayıcıyı üzerinden istekte bulunulduğu zaman “Intercept” alanında istek görüntülenmektedir. Bu alanda isteğe müdahale edilebilir. “Forward” seçeneğine tıklayarak bir sonraki isteğe geçilir. “Drop” ile istek düşürülür.

İstek atıldıktan sonra “Forward” seçeneğine tıkladıktan sonra sunucuya istek iletilir. Burp Suite üzerinden Forward edilmez ise istek sunucuya gönderilmez aşağıdaki örnekte

Burpsuite üzerinden “Forward” seçeneğine tıklanarak istek gönderildi.

İstek “Drop” edildi

“Options” sekmesindeki diğer ayarlar. 1. İstemci üzerinden gelen isteklerin ayarlarının yapıldığı alan. 2. Sunucu üzerinden gelen isteklerin ayarlarının yapıldığı alan. 3. Web soket yapısı ile ilgili mesaj yapısının ayarlandığı alan. 4. Sunucudan gelen istekleri otomatik değiştirmek için ayarlamalar yapılan alan. 5. Proxy üzerinden geçen istek ve yanıtların bölümlerini otomatik olarak değiştirmek için kullanılan alan. 6. TLS bağlantılarını doğrudan yönlendirileceği hedef web sunucularını belirtmek için kullanılır.

Burp Suite- Intruder

Burp Intruder, web uygulamalarına karşı otomatikleştirilmiş payload denemeleri ve brute force işlemlerini sağlayan araçtır. Intruder aracı sayesinde bir isteğin parametreleri değiştirilerek çok sayıda deneme gerçekleştirilebilir. Genellikle form alanlarında veya ilgili parametre alanlarında kullanılır. 192.168.1.80 ip adresli bir adet web sunucusu mevcut. Üzerinde deneme yapabilmek için DVWA (Damn Vulnerable Web Application) kurulumu yapılmıştır. Öncelikle DVWA kullanıcı adı giriş denemesi yaparak “Intercept” alanında görüntülenir.

“Intercept” alanında görüntülenen isteğe sağ tıklayarak “Send to Intruder” seçilir. Bu sayede istek Intruder alanına yönlendirilir.

Intruder alanında gelen isteğin host ve port numarası “Intruder→ Target” alanında yer alır.

“Payload Possitions” alanında gelen isteğin içeriğini görüntülenerek atak tipleri seçilir. Örnek için “Sniper” atak tipi seçilecektir. Sniper atak tipi öncelikle birinci parametreyi değiştirerek deneme yapar. Ardından ikinci parametre denenir.

Gelen isteğin parametrelerinin ilgili alanları maskelenmiş durumdadır. Bu değerler Intruder tarafından dinamik olarak kabul edilir ve atak yapılabilen parametreler olduğunu belirtir.

Saldırılacak parametreler belirlendikten sonra parametre pozisyonu belirtilmelidir. “Payloads Set” alanında öncelikle payload tipi seçilir.

Basit bir işlem için “Simple List” tipi seçilebilir. Simple List ile saldırken kendi oluşturduğu listeyi payload olarak verir. “Load” seçeneğine tıklayarak oluşturduğumuz listeyi seçeriz. Dilerseniz “Add” seçeneğinden birer birer de girilebilir. Denenmek üzere totalde 4 bilgi girildi. Denenmesi gereken 2 parametre mevcut (Kullanıcı adı ve şifre şeklinde). Bu durumdan dolayı 8 adet istek yapılacaktır.

“Payload Processing” alanında belirli fonksiyonlar mevcut. Deneme işlemi seçilmiş olan fonksiyon dönüşümünden sonra yapacaktır.

“Start attack” seçeneği seçilerek atak başlatılır.

Burp Suite – Repeater

Proxy ile araya girdikten sonra gelen istek içerisindeki değerleri değiştirerek tekrarlayan biçimde istek yapıp uygulamanın yanıtlarını analiz etmek için kullanılan araçtır. “Intercept” alanında görüntülenen isteğe sağ tıklayarak “Send to Repeater” seçilir. Bu sayede istek Repeater alanına yönlendirilir.

Intercept alanından gönderilen istek kırmızı kutu içerisinde verilmiştir. “Sent” seçeneğine tıklandıktan sonra “Response” alanında isteğin yanıtı görüntülenir. Yakalanılan istekleri değiştirilerek tekrar gönderilir böylece istekler daha hızlı ve karışıklık olmadan analiz edilebilir.

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog