BURP SUITE NEDİR? NE İŞE YARAR?

BURP SUITE

Merhabalar. Bu yazımda web uygulama güvenliğini test etmede kullanılan bir araç olan Burp Suite hakkında bilgi vereceğim. Faydalı olması dileğiyle. Keyifli okumalar.

Burp Suite Nedir?

Burp Suite; web uygulama güvenliğini test etmede kullanılan bir sızma testi aracı olup PortSwigger şirketi tarafından Java dili ile geliştirilmiştir. Aracın grafik ara yüzü bulunduğu gibi terminal üzerinden de erişimi mevcuttur.

Kullanım kolaylığı, sunduğu bir çok modül, istenildiği gibi özelleştirilebilir olması ve ücretsiz sürümünden dolayı sızma testi uzmanları ve bug avcıları tarafından diğer araçlara göre daha çok tercih edilen bir araçtır. (Aracın ücretsiz sürümü olduğu gibi ücretli sürümü de bulunmaktadır. Fakat ilk aşama için ücretsiz sürüm isteklerinizi karşılayabilecek seviyededir.)

BURP SUITE NE İŞE YARAR?

• Burp Suite, web uygulaması güvenlik testi için kapsamlı bir platformdur. Web uygulamalarının detaylı sayımı ve analizi için kullanılabilir.
• Burp, kullanıcı ile web sayfaları arasında aracı görevi görebilir. Kullanıcı web’de gezinirken gerekli ayrıntılar web sitesinden alınır. Bu bilgiler, bir web uygulamasının güvenliği hakkında fikir sahibi olmamızı sağlar.
• Burp Suite’i, proxy sunucusu üzerinden trafiği yönlendirecek şekilde yapılandırabiliriz. (Bu yapılandırmayı yazının ilerleyen kısımlarında göstereceğim.) Daha sonra ‘Ortadaki Adam’ gibi davranıp hedef web uygulamasından gelen ve giden tüm istekleri yakalayıp analiz eder. Bu sayede istekleri sunucuya gitmeden biz görüntülemiş olacağız.
• Burp Suite ile HTPP/S isteklerini engelleyebilir, değiştirebilir, duraklatabilir ve yeniden oynatabiliriz. Böylelikle enjeksiyon noktalarını ve potansiyel parametreleri analiz edebiliriz. Enjeksiyon noktaları, olası istenmeyen uygulama davranışlarını, çökmeleri ve hata mesajlarını keşfetmek için manuel ve otomatik fuzzing saldırıları için kullanılabilir.

BURP SUITE KURULUM VE YAPILANDIRMA:

Aracımızı çalıştırdıktan sonra karşımıza ilk olarak ‘Proje Oluşturma’ ekranı gelecektir.

• Burada ki ‘Temporary project’ seçeneği ile geçici bir proje oluşturabiliriz.
• ‘New project on disk’ seçeneği oluşturduğumuz projenin disk üzerine kaydedilmesini sağlar.
• ‘Open existing project’ seçeneği ise mevcut olan bir proje üzerine uygulama yapmamıza olanak sağlar.

Ücretsiz sürümde sadece Temporary project seçeneği kullanıma açıktır. O nedenle bu kısımda hiçbir değişiklik yapmadan ‘Next’ seçeneğine tıklıyoruz.

Daha sonraki adımda ‘Konfigürasyon’ ekranı karşımıza gelecektir. Bu noktada iki seçenek karşımıza çıkıyor. ‘Use Burp defaults’ seçeneği ile Burp Suite varsayılan yapılandırma dosyaları kullanılabilir veya ‘Load from configuration file’ seçeneği ile mevcut yapılandırma dosyası üzerinden yükleme işlemi yapılabilir. Use Burp defaults seçeneği ile devam ediyoruz.

Burp Suite aracımızın ana ekranı yukarıda göründüğü gibidir. Şimdi en çok kullanacağımız sekmeleri inceleyelim.

TARGET: Hedef web uygulaması hakkında ayrıntılı bilgiler içeren site haritasını içerir. Amacı mevcut çalışmamız içindeki işlevsellikleri gözlemlemek ve var olan güvenlik açıklarını test etmek için süreci yönlendirmemize olanak tanımaktır.

Site map, Scope ve Issue definitions olarak 3 kısma ayrılmıştır.

• SİTE MAP

1: Hedef site üzerindeki bağlantıları ve dosya adlarını görüntüleme alanıdır.

2: Gönderilen istek ile alakalı var olan bütün parametreler bu alanda görüntülenir.

3:İstemcilerden çıkan isteklerin görüntülendiği alandır.

4: Sunucudan dönen cevapların görüntülendiği alandır.

Ayrıca sayfanın en üst kısmındaki Filter seçeneğiyle istediğimiz gibi filtreleme yapabiliriz.

• SCOPE

Asıl incelemek istediğimiz hedef bağlantısını bu alana giriyoruz.

• ISSUE DEFINITIONS

Burp Scanner tarafından tespit edilebilecek tüm sorunların tanımlarını içeren listenin yer aldığı alandır.

PROXY: Kullanıcının aktarım sırasında isteklerin ve yanıtların içeriğini görmesini ve değiştirmesini sağlayan bir engelleyici proxy (vekil) içerir.

Intercept, HTTP history, WebSockets history ve Options olarak 4 kısma ayrılmıştır.

Burp Suite’i proxy olarak kullanabilmemiz için yapılandırma yapmamız gerekiyor.

PROXY YAPILANDIRMASI:

Öncelikle proxy sekmesinin options kısmına gidiyoruz.

Burada gördüğümüz gibi şu an 127.0.0.1 yani localhost ve 8080 portunu dinliyoruz. Tabiki siz istediğiniz interface ve portu dinleyebilirsiniz.

Ardından Firefox ayarlarına gidip Burp Suite’i proxy olarak eklememiz gerekiyor. Bunun için Firefox > Network Settings ayarlarına gidiyoruz.

Açılan pencerede Manuel proxy configuration alanını seçip dinlediğimiz interface ve port bilgisini giriyoruz.

Bu işlem sonrasında, Firefox üzerinden yaptığımız HTTP trafikleri Burp Suite ile görebilir durumda olacağız.

• INTERCEPT

Intercept kısmında gelen ve giden istek yapıları kontrol edilir. ‘Intercept is on’ durumunda olduğu zaman istemciden çıkan isteği görüntüleyebiliriz. ‘Intercept is off’ durumunda olduğu zaman ise Burp Suite aracını proxy olarak kullanamayız.

• HTPP HISTORY

Bu kısımda hedef üzerinde yapılan işlemlere ait tüm bağlantı bilgileri görüntülenir.

• WEBSOCKETS HISTORY

Bu sekme Burp’un tarayıcısının web sunucularıyla değiş tokuş ettiği WebSockets mesajlarının bir günlüğünü görüntüler. Böylece bir hedef web sitesinin davranışını inceleyebilir, WebSockets el sıkışmalarında ve mesajlarındaki güvenlik açıklarını arayabilir ve daha fazla test için Burp Suite’teki diğer araçlara mesajlar gönderebiliriz.

• OPTIONS

Options sekmesi, istemci ile sunucu arasındaki bütün ayarlamaların yapıldığı alandır. ‘Proxy Listeners’ alanında dinlenecek olan localhost adresi ve 8080 portu varsayılan olarak gelmektedir. Burp Suite ile HTTPS sitelerini görüntülemek istediğimizde sertifika hatası oluşacaktır. Bu durumu ortadan kaldırmak için burada da bir düzenleme işlemi gerçekleştirmemiz gerekir.

http://burp  adresine giderek sitenin sunmuş olduğu CA Sertifikasını indiriyoruz.

Ardından Firefox > Privacy&Security > Certificates > View Certificates üzerinden Certificate Manager ekranını açıyoruz.

Açılan ekranda Authorities sekmesinden Import seçeneğine tıklayarak indirdiğimiz CA sertifikasını yüklüyoruz.

Sertifikayı yükledikten sonra açılan ekranda Trust this CA to identify websites alanını seçtiğimizde, yapılan HTTPS trafikleri de başarılı bir şekilde görüyor olacağız.

INTRUDER: Burp Intruder, web uygulamalarına karşı otomatikleştirilmiş payload denemeleri ve brute force işlemlerini sağlayan bir araçtır. Bu araç sayesinde bir isteğin parametreleri değiştirilerek çok sayıda deneme gerçekleştirilebilir. Target, Positions, Payloads, Resource Pool ve Options olmak üzere 5 kısma ayrılmıştır.

• TARGET

Intruder alanında gelen isteğin host ve port numarası bu alanda görülür.

• PAYLOAD POSSITIONS

Gelen isteğin içeriği görüntülenerek atak tiplerinin seçildiği alandır.

• PAYLOAD SET

Saldırılacak parametreler belirlendikten sonra parametre pozisyonu belirtilmelidir. Payload Set alanında öncelikle payload tipi seçilir.

• RESOURCE POOL

Kaynak havuzu anlamına gelen bu alan belirli bir kaynak kotasını paylaşan görevlerin gruplandırıldığı alandır. Her kaynak havuzu, aynı anda yapılabilecek isteklerin sayısını veya isteklerin yapılma sıklığını veya her ikisini kontrol eden kendi kısıtlama ayarlarıyla yapılandırılabilir.

• OPTIONS

Çeşitli yaygın hata mesajı dizeleriyle eşleşen grep öğelerini yapılandırmamız gerekir. Options kısmındaki Grep-Match kullanıcı arabirimindeki varsayılan seçenekler, bu amaç için yararlı dizelerin bir listesini içerir.

REPEATER: Proxy ile araya girdikten sonra gelen istek içerisindeki değerleri değiştirerek tekrarlayan biçimde istek yapıp uygulamanın yanıtlarını analiz etmek için kullanılan araçtır.

Repeater kısmını girdi tabanlı güvenlik açıklarını test etmek için parametre değerlerini değiştirmek, mantık hatalarını test etmek için belirli bir sırayla istek göndermek ve bildirilen sorunları manuel olarak doğrulamak gibi birçok amaç için kullanabilirsiniz.

SEQUENCER: Sıralayıcı demektir ve bir veri öğesi örneğindeki rastgeleliği kontrol eden bir denetleyicidir. Bir uygulamanın oturum belirteçlerini veya parola sıfırlama belirteçleri gibi öngörülmez olması amaçlanan diğer önemli veri öğelerini test etmek için kullanılabilir.

DECODER: Kod çözücü demektir. Yaygın olan (URL, Base64, Hex vb.) encoding yöntemlerini listeler.

Parametre veya başlık değerlerinde veri yığını ararken işe yarar. Ayrıca çeşitli güvenlik açıkları için payload inşasında kullanılabilir.

EXTENDER: Burp Suite harici bileşenlerin araçlara eklenmesini destekler ve bu harici bileşenlere BApss denir. Bunlar tarayıcı eklentisi gibi çalışır ve extender penceresinde görüntülenebilir, değiştirilebilir, kurulabilir, kaldırılabilir.

Bu yazımda Burp Suite aracının kurulumunu ve bizim için öncelikli olarak kullanacağımız kısımlarını ele aldım. Aracın kullanımını göstereceğim bir sonraki yazımda görüşmek üzere. Keyifli okumalar.