Tarama Yapılandırması

Bu yazımızda tarama türlerini görmüştük. Hedef URL'de varsayılan yapılandırma ayarlarıyla bir crawl ve audit görevi yapılandırıp başlattık. Bu yazıda, tarama yapılandırmasının ihtiyaçlarımıza uyacak şekilde nasıl uyarlanabileceğine bir göz atacağız. Tarama yapılandırmasını özelleştirmek için, aşağıda gösterildiği gibi "Scan configuration" sekmesine tıklayın.

Configure scan, crawl ve audit ayarlarını özelleştirmemize olanak tanır. Öncelikle crawl ayarlarını inceleyeceğiz. "New..." düğmesini tıklayın ve "Crawl" yı seçin. Aşağıda da gösterildiği gibi yeni bir pencere açılacaktır.

Crawl optimization, varsayılan olarak normal olarak ayarlanan tarama stratejisiyle birlikte taramak istediğimiz maksimum bağlantı derinliğini ayarlamamıza olanak tanır. Belirli tarama senaryosuna bağlı olarak buradaki değerleri değiştirebilirsiniz.

Daha sonra, tarama süresi sınırlarını aşağıda gösterildiği gibi yapılandırabilirsiniz. Hedef uygulama büyük ve karmaşıksa, taranması çok zaman alabilir. Uygulamayı taramak için harcamak istediğimiz maksimum süreyi tanımlayarak buna bir sınır koyabiliriz. Ayrıca taramayı, keşfedilen konumların sayısı veya tarama işlevi sırasında yapılan maksimum istek sayısı ile de sınırlandırabilirsiniz.

Login Functions aşağıda da gösterildiği gibi oturum açma işlemleri ile ilgilidir. Hedef uygulamanın bir oturum açma fonksiyonu olabilir. Böyle bir durumda Burp Suite hedef uygulamada yeni bir kullanıcı bile kaydetmeye çalışacaktır.

Handling Application Errors During Crawl bölümünde bir tarama sırasında uygulama hatalarının ele alınmasıyla ilgili ayarlar yapılmaktadır. Kimlik doğrulama hatası, ağ sorunları vb. gibi uygulama hatalarının arkasında birden çok neden olabilir. Bu yapılandırma ayarı, Burp Suite tarayıcısına, belirli sayıda ardışık uygulama hatası varsa tarama ve denetim işlevini duraklatmasını söyler.

En sonki ayar bölümü Mincellaneous'dur. Burp Suite tarayıcısının formları otomatik olarak göndermesini isteyip istemediğimize veya robots.txt ve site haritasını vb. istiyorsak kullanıcı aracısını özelleştirmek isteyip istemediğimize ilişkin ayarları içerir.

Şimdi sıra Audit'e geldi. Başlangıç ​​olarak, audit yapılandırma ayarı aşağıda gösterildiği gibi "Audit Optimization" dur. Bu ayar, denetim hızını ve doğruluğunu yapılandırmamıza olanak tanır. Denetim hızı, hızlı, normal veya kapsamlı olarak ayarlanabilirken, denetim doğruluğu normale veya yanlış pozitifleri en aza indirgemek için ayarlanabilir.

Issues Reported rapor edilen sorun türleriyle ilgilidir. Burp Suite tarayıcısı çeşitli sorunları algılar. Bununla birlikte, belirli bir test senaryosu sırasında, yalnızca belirli bir sorunun test edilmesi gerekebilir. Böyle bir durumda, diğer tüm sorun türlerini test etmek için zaman harcamaya değmez. Bu nedenle, bu yapılandırma ayarı, tarama sırasında test edilmesini istediğimiz sorunların türünü özelleştirmemize olanak tanır.

Handling Application Errors During Audit aşağıda da gösterildiği gibi denetim işlevi sırasında uygulama hatalarının ele alınmasıyla ilgilidir. Crawl işlevi için benzer bir yapılandırma ayarını zaten görmüştük. Bu ayar, daha sonra Audit görevinin duraklatılacağı hata sayısını yapılandırmaya yardımcı olur.

Insertion Point Types Burp Suite tarayıcısının aşağıda da gösterildiği gibi audit işlevi sırasında saldırmasını istediğimiz ekleme noktalarının türüyle ilgilidir. Tüm ekleme noktası türlerinin seçilmesi, daha fazla güvenlik açığı bulma olasılığını artıracaktır fakat denetim sürecini uzatacaktır.

Yukarıda gördüğümüz tüm Crawl ve Audit yapılandırma ayarları, varsayılan olarak optimum değerlere ayarlanmıştır. Varsayılan tarama yapılandırmasını kullanarak yeni bir crawl ve audit görevini hızla tetikleyebiliriz. Ancak, belirli tarama senaryolarına bağlı olarak, tarama yapılandırma ayarlarını özelleştirmeniz gerekebilir.

 

Uygulama Girişi

Bir sonraki önemli tarama yapılandırma ayarı, aşağıda gösterildiği gibi "Application login" yı yapılandırmaktır. Hedef uygulamayı tararken, yalnızca kimlik doğrulamadan sonra erişilebilen birkaç sayfa olabilirken, kimlik doğrulama gerektirmeyen belirli sayfalarla karşılaşabiliriz. Burp Suite tarayıcısının kimlik doğrulamanın arkasındaki sayfaları da denetlemesini istiyorsak, kimlik bilgileri sağlamamız gerekir.

 Kimlik bilgileri, "New..." düğmesine tıklanarak ve gerekli kullanıcı adı ve şifre girilerek eklenebilir.

 

Kaynak Havuzu

Son tarama yapılandırma seçeneği, aşağıda da gösterildiği gibi "Resource Pool" dur. Resource Pool, birden çok görevde kullanılacak sistem kaynaklarını tanımlamaya yardımcı olur. Varsayılan olarak, en fazla 10 eşzamanlı isteğe izin veren kaynak havuzu oluşturulur. Aynı Burp Suite projesi içinde çoklu görev yapmak istemiyorsak, bunu varsayılan olarak bırakabiliriz.