Target

Target sekmesi de Dasboard sekmesi gibi bir çok bölümden oluşan önemli bir sekmedir.

En soldaki bölümde göz attığımız sitenin hiyerarşisini oluşturur. Tüm yaprak düğümleri, klasörleri vb. İyi tanımlanmış bir ağaç yapısı biçiminde bize burada listeler. Bu, sitenin / uygulamanın ne kadar büyük olabileceği veya içeriği hakkında bir fikir edinmeye yardımcı olur. Bu bölüm daha çok site haritasına benzer.
Yukarıda görselde de görüleceği üzere 3rh4n.com adresine yapılan istek üzerine sitenin sol tarafta hiyerarşisi oluşturulmuştur.
 
Sağ üst taraftaki bölümde ise yapılan tüm HTTP istekleri, host, method, hedef URL, varsa parametre bilgisi, içerik uzunluğu, MIME Type gibi bilgiler listelenir. Bu bölümden size hedef uygulamaya enjekte edebileceğiniz parametrelere sahip olan URL'leri keşfetmenize yardımcı olacaktır.

Sağda bulunan Request bölümü gerçek HTTP isteğini ve yanıtını gösterir. Ham isteği varsayılan olarak görebilir, ancak isterseniz gönderilen isteği parametreler şeklinde de görebilirsiniz. Ayrıca yanıtta kullanılan tüm başlıklarıda bu alandan inceleyebilirsiniz.

"Site map" altında bulunan "Filter: Hiding not found..." kısmına tıkladığınızda aşağıdaki gibi bir bölüm açılacaktır. Tarayıcınızı Burp Suite ile birlikte çalışacak şekilde yapılandırdığınızda, çok fazla trafik yakalayacaktır.Yalnızca gerekli verileri filtrelemek için buradaki birkaç filtre kullanılabilir.

Engagement Tools

Burp Suite içinde bazı sktra işlemleri gerçekleştirmeye yardımcı olan küçük araçlardır. Pro versiyonunda aktif olarak gelmektedir. Cominity versiyonunda aşağıda da göreceğiniz üzere pasif olarak görünmektedir. Engagement araçlarına erişmek için çalıştırmak istediğiniz URL üzerinde sağ tıklayın.


 Engagement içerisindeki araçlar;

  • Search: kullanıcıların seçilen hedeften gelen istekler veya yanıtlar içinde herhangi bir anahtar kelime aramasına olanak tanır.
  • Find comments: toplanan verileri tarar ve kod yorumlarını bulur. Yorumlarda her zaman hassas bir şeyler bulma olasılığı olduğu için bu aracı kullanmak yararınıza olacaktır.
  • Find scripts: seçilen hedef kapsamındaki tüm komut dosyalarını arar.
  • Find references: seçilen hedefin herhangi bir referansını bulabileceği tüm Burp Suite bileşenlerini listeler.
  • Analyze target: çoğunlukla dinamik URL sayısı, statik URL sayısı, parametre sayısı, vb. açısından uygulamanın boyutlandırılmasıyla ilgili istatistikler sağlar. Bu istatistikler, test yapan personelin uygulamayı test etmek için gerekli olan çabayı tahmin etmesine yardımcı olur. 
  • Discover content: bu araç, örümcek veya tarama kurallarının tanımlanmasına yardımcı olur. İyi yapılandırılmış bir site haritası oluşturulması için kullanılabilir. Varsayılan olarak bırakılabilir. 
  • Schedule task: Burp Suite görevlerinden herhangi birini planlamak için basit bir yardımcı programdır. Bunu kullanarak herhangi bir görevi duraklatabilir veya devam ettirebilirsiniz. 
  • Simulate manuel testing:  bu araç, hedefe rastgele aralıklarla HTTP istekleri gönderir ve oturumun canlı kalmasına yardımcı olabilir. Bu, test edenin ara verdiği bir senaryoda yardımcı olabilir ve işlem yapılmaması nedeniyle uygulama oturumunun zaman aşımına uğrama olasılığı vardır.

Hadi durma sende yorum yap

Daha yeni Daha eski

Comments