Burp Suite

Burp Suite, uygulama güvenlik testi için kullanılan basit ama güçlü bir araçtır. Yalnızca web uygulamalarının değil, aynı zamanda API'lerin ve mobil uygulamaların manuel uygulama güvenlik testleri için yaygın olarak kullanılmaktadır. Web uygulamalarının güvenliğini etkin bir şekilde test etmek için, çeşitli web uygulama açıklarının anlaşılması gerekir; aynı zamanda, test için kullanılan araçların da iyi şekilde kullanılabilmesi gerekir. Paylaşacağım yazılar sayesinde Burp Suite'i kapsamlı bir şekilde kullanabilmenize yardımcı olacağım.

Son yıllarda uygulama güvenliği önemli ölçüde gelişti ve hala da gelişmeye devam etmektedir. 2000'li yıllarda uygulamalarda SQL Injection zafiyeti bulmak bugünlere göre çok daha kolaydı. Uygulama geliştiriciler günümüzde güvenlik konusunda daha da bilinçlendi ve daha güvenli uygulamalar geliştirmeye başladılar. Geliştiriciler güvenlik konusunda çok daha bilinçlendi ve güvenlik kontrollerini Yazılım Geliştirme Yaşam Döngüsü (SDLC) boyunca yerleştirilerek geliştirilen uygulamayı nispeten daha güvenli hale getirdiler. 

Geliştirme süreçleri daha güvenli hale gelse de, günümüz uygulamaları sadece web ile sınırlı değil. Modern uygulamaların mobil, API, bulut gibi teknolojiler ile birlikte gelişmesi karmaşıklığını arttırmış ve artan bu karmaşıklık saldırı yüzeyini de bir o kadar artmasına neden olmuştur.

Günümüzde uygulama güvenliği ile ilgili tarama ve test araçlarının pazarı hızlı bir şekilde büyümektedir. Farklı satıcıların ticari ve ücretsiz, çeşitli teknolojileri ve özellikleri destekleyen pek çok araç bulunmaktadır. Bu araçların çoğu, güvenlik açıklarını bulmak için yazılımın otomatik olarak taranmasına yöneliktir. Bu, tarayıcıyı hedef uygulamayı taradıktan veya taradıktan sonra tetikleyerek veya tarayıcıyı doğrudan DevOps döngüsüne entegre ederek gerçekleştirilir. Minimum manuel müdahale ile uygulamanın taranması bir avantaj gibi görünsede manuel test yoluyla daha iyi anlaşılabilen ve yararlanılabilen belirli güvenlik açıklarının gözden kaçırılmasına neden olmaktadır.

Manuel testin başarısı testi gerçekleştiren personelin bilgisi ve test için kullanılan aracın yeteneklerine bağlıdır. Burp Suite gibi bir araç, manuel test gereksinimlerinin karşılanmasına önemli ölçüde yardımcı olur. Testi gerçekleştiren personelin potansiyel güvenlik açıklarını verimli bir şekilde bulabileceği ve bunlardan yararlanabileceği güçlü ve esnek bir platform sağlar. Bu nedenle, uygulama güvenliği taraması ve testi için en iyi strateji, hem otomatik hem de manuel testin bir kombinasyonunu kullanmak olacaktır. İşte bu noktada otomatik bir tarayıcı ile birlikte mükemmel manuel test yeteneklerine sahip olması nedeniyle Burp Suite kullanımını tercih ediyoruz. Burp Suite otomatik tarayıcısı sayesinde manuel testin yanında uygulamanın otomatik olarak taranmasınıda sağlar. 

Bir çok ticari yazılım gibi Burp Suite'nin de birden çok sürümü bulunmaktadır. Farklı kullanıcıların farklı ihtiyaçlarını göz önünde bulundurarak Burp Suite, üç farklı sürümde gelir.

• Burp Suite Community Edition
• Burp Suite Professional Edition 
• Burp Suite Enterprise Edition

Bu linki ziyaret ederek size en uygun sürümü tercih edebilirsiniz.

Burp Suite, manuel ve otomatik test ihtiyaçlarının çoğunu karşılamasına karşın sektörde bir çok başarılı araç bulunmaktadır. Aşağıdaki vereceğim bazı araçlarıda inceleyebilirsiniz. Eğer ileride vaktim olursa diğer araçların kullanımı hakkında da detaylı yazı paylaşmayı planlıyorum. 

• Netsparker
• Acunetix
• IBM AppScan
  
• Core Impact 

My colleague Stephen put together a cheat sheet for Burp Suite - https://comparite.ch/burpcs