Tarama Türleri

Burp Suite, güvenlik açıklarını bulma sürecini otomatikleştiren bir web uygulaması güvenlik açığı tarayıcısı sağlamaktadır. Bu tarayıcı potansiyel web güvenlik açıklarını tespit edebilir. Pasif ve aktif olmak üzere 2 tarama türü sunmaktadır. Pasif tarama, Burp Suite aracılığıyla bir uygulamaya göz atarken varsayılan olarak arka planda çalışır. 

  • Pasif bir tarama basitçe trafiği izler ve çerezlerdeki eksik güvenlik bayrakları, eksik güvenlik başlıkları, şifrelenmemiş iletişim kanalları üzerinden gönderilen trafik vb. güvenlik açıklarını tespit etmeye çalışır. Yalnızca devam eden istekleri ve yanıtları pasif bir şekilde izleyerek bulunabilecek güvenlik açıklarını listeler.
  • Aktif tarama bir adım daha ileri gider ve yükleri ekleme noktalarına eklemeye ve parametrelerin savunmasız olup olmadığını kontrol etmeye çalışır. Aktif tarama daha yoğun bir tekniktir; ancak, pasif bir tarayıcının asla bulamayacağı güvenlik açıklarını bulmada daha iyi bir iş çıkarır.

Şimdi Burp Suite kullanarak aktif bir tarama gerçekleştirmenin ayrıntılarını daha ayrıntılı bir şekilde inceleyeceğiz. Bu özellik Comunity versiyonda pasif olarak gelmektedir. Bu konuda yazı yazmak için Pro versiyonun 30 günlük deneme sürümünü temin ettim.

Crawl ve Audit

Aktif tarama genellikle iki aşamalı bir işlemdir. İlk adım, uygulamayı taramayı ve ikinci adım ise parametrelere yüklerle saldırmayı içerir. Burp Suite tarayıcısı iki seçenek sunar: ya crawl (tarama) ve audit (denetleme) ya da sadece crawl.

Bir tarama başlatmak için Dashboard sekmesinde Task bölümün bulunan "New scan" butonuna tıklayın.


Aşağıda da gösterildiği gibi yeni bir pencere açılacaktır. "Crawl and Audit" seçeneğini seçiyoruz. Ardından, taramak istediğimiz hedef URL'yi belirtmemiz gerekiyor. Bu durumda, hedef URL'yi "http://demo.testfire.net/" olarak giriyoruz.

"Detail scope configuration" bölümünde istediğiniz URL'lerin denetime dahil edilmesini, istemediklerinizide dahil edilmesini istemediğinizi belirtebilirsiniz.  Yapılandırma işlemini tamamladıktan sonra "Ok" ı tıklamamız gerekiyor ve crawl ve audit işlemi aşağıda gösterildiği gibi başlıyor. 

Bu işlemin varsayılan bir tarama yapılandırmasıyla başlayacağını unutmayınız.

Hadi durma sende yorum yap

Daha yeni Daha eski

Comments