Bu yazıda, mobil uygulamaların güvenlik testlerini gerçekleştirmek için Burp Suite yeteneklerinden nasıl yararlanabileceğimize bakacağız. Mobil uygulama güvenlik testi hakkında daha fazla ayrıntıya girmeden önce, Burp Suite'in kelimenin tam anlamıyla bir HTTP proxy olarak davrandığını ve hizmet ettiğini anlamak önemlidir. Bu, HTTP veya HTTPS protokolü üzerinden etkileşim kuran herhangi bir cihaz veya uygulamada güvenlik testi yapmak için Burp Suite'i etkili bir şekilde kullanabileceğimiz anlamına gelir.
Mobil uygulamalar da farklı değil; iletişim için aynı HTTP / HTTPS protokolünü kullanırlar; dolayısıyla bu trafik, diğer normal web uygulamaları gibi Burp Suite üzerinden yönlendirilebilir. Aşağıda tüm trafiği Burp Suite üzerinden Uygulama Sunucusuna ileten bir mobil uygulama istemcisini (bilgisayardaki tarayıcının eşdeğeri) göstermektedir.
Şimdi Burp Suite'i mobil uygulama ile birlikte çalışacak şekilde nasıl yapılandırabileceğimizi göreceğiz. Öncelikle, doğru Burp Suite proxy'sinin tüm arabirimleri dinlemek üzere ayarlandığından emin olmamız gerekir. Bunu yapmak için, Aşağıda gösterildiği gibi Proxy ➤Options sekmesine gidin.
Şimdi 'Add' düğmesine tıklayın ve aşağıda gösterildiği gibi yeni bir pencere açılacaktır. Bağlantı noktası numarasını yapılandırın ve "Bind to address" ı "All interfaces" olarak seçin ve "OK" ı tıklayın.
Şimdi, arayüzü "*: 8080" olarak listeleyen aşağıda gösterildiği gibi proxy listeners bölümüne dikkat edin.
Burp Suite proxy'sini mevcut tüm interface'leri 8080 numaralı bağlantı noktasında dinleyecek şekilde yapılandırdığımıza göre, mobil cihaz yapılandırmasına geçeceğiz. Mobil cihazı Burp Suite ile birlikte çalışacak şekilde yapılandırmak için, hem Burp Suite'i çalıştıran sistemin hem de mobil cihazın aynı mantıksal ağda olması gerektiğine dikkat edin. Bunu başarmanın en basit yolu, mobil cihazı ve Burp Suite çalıştıran sistemi aynı Wireless Access Point'e bağlamaktır. Burp Suite'i çalıştıran mobil cihaz ve sistem aynı ağa bağlandığında, Burp Suite'i proxy olarak kullanmak için mobil cihazdaki ağ ayarlarını yapılandırmamız gerekir. Mobil cihazda ağ proxy'sini yapılandırmak için, Kablosuz Ayarlarına gidin ve aşağıda gösterildiği gibi bağlı olduğunuz Kablosuz Ağı seçin.
Bağlı olduğunuz Wİ-Fİ ile ilgili Proxy ayarları yapmak için ağın yanında bulunan ünlem işaretine tıklayın. (Telefonunuzun modeline göre sizde farklı şekilde ilgili bölüme ulaşım olabilir.) Aşağıda gösterildiği gibi yeni bir yapılandırma penceresi açılacaktır.
HTTP PROXY kısmına tıklayın. Varsayılan olarak "Kapalı" olarak ayarlanmıştır. Aşağıda gösterildiği gibi bunu "Elle" olarak değiştirmemiz gerekiyor.
Proxy türünü "Elle" olarak değiştirdiğimize göre, yukarıda gösterildiği gibi Burp Suite proxy hizmetinin dinlediği bağlantı noktası numarasıyla birlikte Burp Suite'in çalıştığı sistemin IP adresini girmemiz gerekiyor. Manuel proxy yapılandırıldıktan sonra, mobil uygulamadan gelen tüm trafik artık Burp Suite üzerinden yönlendirilecektir. İstekler Burp Suite'e girdikten sonra, diğer normal HTTP istekleri gibi Repeater veya Intruder ile gerekli müdahaleler yapılabilir. Burp Suite kullanarak mobil uygulamalarda güvenlik testi gerçekleştirmeyle ilgili iki noktaya dikkat etmek gerekir.
- Burp Suite, yalnızca mobil uygulamada manuel güvenlik testlerinin yürütülmesine ve belirli bir dereceye kadar dinamik uygulama güvenlik testlerinin gerçekleştirilmesine yardımcı olabilir.
- Mobil cihazlarda ağ proxy'sini yapılandırma işlemi, üzerinde çalıştıkları işletim sisteminin türüne ve sürümüne göre değişir. Ancak, yüksek düzeyde, süreç bu bölümde bahsettiğimize benzer olacaktır.
Faydalı bir yazı, teşekkür ederim. Peki işletim sistemi trafiğini burp'e nasıl yönlendirebilirim. Daha doğrusu işletim sistemi üzerinde çalışan ve http istekleri yapan bir uygulamanın trafiğini burp ile nasıl takip edebilirim? Hem windows hem linux için.
YanıtlaSilYorum Gönder