Bu yazıda proje ayarları ile ilgili olarak Hostname resolution, Out-of-Scope Requests, Redirections, TLS Configuration, Session Handling Rules, Cookie Jar. ve Macro'lardan bahsedeceğim.
Zaman Aşımı Yarlama
İsteklerin ve yanıtların ele alınması, daha öncede belirttiğim gibi Burp Suite'in temel işlevidir. Bazı durumlarda hedef uygulamadan geç yanıt gelebilir, Hedef uygulama hizmet dışı olabilir. Bu gibi durumlarda Burp Suite'in bir isteği bırakmadan önce yanıt için ne kadar beklemesi gerektiğine karar vermemiz gerekir. Bu değeri timeouts ile tanımlarız.Varsayılan olarak belirli değerlerle gelmektedir. Varsayılan zaman aşımı değerlerini değiştirmek için, aşağıda da gösterildiği gibi "Project Options ➤ Connections ➤ Time Outs" a giderek istediğiniz değişiklikleri gerçekleştirebilirsiniz.
Hostname Çözümleme
Hostname çözümlemesi genellikle yerel host dosyası veya network DNS'si yardımıyla gerçekleşir. Ancak, Burp Suite özel hostname çözümlemelerine izin verir. Bu, bir intranette barındırılan bir uygulamaya belirli bir hostname veya URL kullanılarak erişilmesi gereken belirli senaryolarda yararlı olabilir.
Özel hostname çözümleme kuralları tanımlamak için, aşağıda gösterildiği gibi “Project Options ➤ Connections ➤ Hostname Resolutions” a gidin.
Out-of-Scope Requests
Tarayıcı Burp Suite ile birlikte çalışacak şekilde yapılandırıldığında, Burp Suite varsayılan olarak tüm sekmelerdeki tüm HTTP trafiğini yakalayacaktır. Oluşan trafik çok fazla olacağı için asıl odaklanmanız gereken şeyleri gözden kaçırabilirsiniz. Yakalanan tüm trafikten yalnızca test ettiğimiz gerekli hedefe odaklanmamız gerekir. Burp Suite, kapsam dışı olan tüm istekleri basitçe düşürme özelliği sağlar.
Bunu aşağıda gösterildiği gibi “Project Options ➤ Connections ➤ Out-of-scope Requests” e gidirek yapabilirisiniz.
“Use custom scope” seçeneğini seçerek, kapsamdan çıkarmak istediğimiz URL'leri açıkça ekleyebilirsiniz.
Yönlendirmeler
Otomatik uygulama taraması, HTTP yeniden yönlendirmelerinin işlenmesini gerektirir. Tarama motoru, herhangi bir sayfa yönlendirmesi algıladığında harekete geçmelidir. Burp Suite, varsayılan olarak yapılandırılmış yeniden yönlendirme kurallarına sahiptir ve bunları değiştirmeye yönelik açık bir ihtiyaç olmadıkça veya JavaScript ile yönlendirilen yeniden yönlendirmeler için ek yapılandırma gerekmedikçe bunlarda herhangi bir değişiklik yapmak gerekmekz.
Yeniden yönlendirme kurallarını yapılandırmak için, aşağıda da gösterildiği gibi “Project Options ➤ HTTP ➤Redirections” e gidin.
Cookie Jar
Herhangi bir uygulama tarama / test aracının, devam eden uygulama oturumlarını yönetmek için kullanacağı bir tanımlama bilgisi havuzunu tutması gerekir. Oturum içi algılama özelliği, otomatik tarama gerçekleştirirken özellikle gereklidir. Burp Suite, uygulama tanımlama bilgilerini "Cookie Jar" adlı bir yapıda depolar. Varsayılan olarak Cookie Jar, çerezleri ayıklamak ve saklamak için Proxy trafiğini izler; ancak, Burp Suite'e, Scanner, Repeater, Intruder, Sequencer, ve Extender gibi diğer araçlardan çerezleri izleme ve yakalama talimatı verebilirsiniz.
Aşağıda da gösterildiği gibi “Project Options ➤ Sessions ➤ Cookie Jar”a giderek gerekli işlemleri yapabilirsiniz.
Uygulama güvenlik testi sürecinde, belirli bir dizi eylemin tekrar tekrar gerçekleştirilmesi gerekebilir. Burp Suite, bunu yapmak için makro işlevselliği sağlar. Makro düzenleyici, aşağıda da gösterildiği gibi “Project Options ➤ Sessions ➤ Macros” da mevcuttur.
Adımları kaydetmek için 'Add' düğmesine tıklayıp karşınıza çıkan sihirbazı takip edebilirsiniz.
Yorum Gönder