Bu yazımızda tarama türlerini görmüştük. Hedef URL'de varsayılan yapılandırma ayarlarıyla bir crawl ve audit görevi yapılandırıp başlattık. Bu yazıda, tarama yapılandırmasının ihtiyaçlarımıza uyacak şekilde nasıl uyarlanabileceğine bir göz atacağız. Tarama yapılandırmasını özelleştirmek için, aşağıda gösterildiği gibi "Scan configuration" sekmesine tıklayın.
Configure scan, crawl ve audit ayarlarını özelleştirmemize olanak tanır. Öncelikle crawl ayarlarını inceleyeceğiz. "New..." düğmesini tıklayın ve "Crawl" yı seçin. Aşağıda da gösterildiği gibi yeni bir pencere açılacaktır.
Crawl optimization, varsayılan olarak normal olarak ayarlanan tarama stratejisiyle birlikte taramak istediğimiz maksimum bağlantı derinliğini ayarlamamıza olanak tanır. Belirli tarama senaryosuna bağlı olarak buradaki değerleri değiştirebilirsiniz.
Daha sonra, tarama süresi sınırlarını aşağıda gösterildiği gibi yapılandırabilirsiniz. Hedef uygulama büyük ve karmaşıksa, taranması çok zaman alabilir. Uygulamayı taramak için harcamak istediğimiz maksimum süreyi tanımlayarak buna bir sınır koyabiliriz. Ayrıca taramayı, keşfedilen konumların sayısı veya tarama işlevi sırasında yapılan maksimum istek sayısı ile de sınırlandırabilirsiniz.
Login Functions aşağıda da gösterildiği gibi oturum açma işlemleri ile ilgilidir. Hedef uygulamanın bir oturum açma fonksiyonu olabilir. Böyle bir durumda Burp Suite hedef uygulamada yeni bir kullanıcı bile kaydetmeye çalışacaktır.
Handling Application Errors During Crawl bölümünde bir tarama sırasında uygulama hatalarının ele alınmasıyla ilgili ayarlar yapılmaktadır. Kimlik doğrulama hatası, ağ sorunları vb. gibi uygulama hatalarının arkasında birden çok neden olabilir. Bu yapılandırma ayarı, Burp Suite tarayıcısına, belirli sayıda ardışık uygulama hatası varsa tarama ve denetim işlevini duraklatmasını söyler.
En sonki ayar bölümü Mincellaneous'dur. Burp Suite tarayıcısının formları otomatik olarak göndermesini isteyip istemediğimize veya robots.txt ve site haritasını vb. istiyorsak kullanıcı aracısını özelleştirmek isteyip istemediğimize ilişkin ayarları içerir.
Şimdi sıra Audit'e geldi. Başlangıç olarak, audit yapılandırma ayarı aşağıda gösterildiği gibi "Audit Optimization" dur. Bu ayar, denetim hızını ve doğruluğunu yapılandırmamıza olanak tanır. Denetim hızı, hızlı, normal veya kapsamlı olarak ayarlanabilirken, denetim doğruluğu normale veya yanlış pozitifleri en aza indirgemek için ayarlanabilir.
Issues Reported rapor edilen sorun türleriyle ilgilidir. Burp Suite tarayıcısı çeşitli sorunları algılar. Bununla birlikte, belirli bir test senaryosu sırasında, yalnızca belirli bir sorunun test edilmesi gerekebilir. Böyle bir durumda, diğer tüm sorun türlerini test etmek için zaman harcamaya değmez. Bu nedenle, bu yapılandırma ayarı, tarama sırasında test edilmesini istediğimiz sorunların türünü özelleştirmemize olanak tanır.
Bir sonraki önemli tarama yapılandırma ayarı, aşağıda gösterildiği gibi "Application login" yı yapılandırmaktır. Hedef uygulamayı tararken, yalnızca kimlik doğrulamadan sonra erişilebilen birkaç sayfa olabilirken, kimlik doğrulama gerektirmeyen belirli sayfalarla karşılaşabiliriz. Burp Suite tarayıcısının kimlik doğrulamanın arkasındaki sayfaları da denetlemesini istiyorsak, kimlik bilgileri sağlamamız gerekir.
Yorum Gönder