Open in app

Sign in

Write

Sign in

Burp Suite İpuçları: Eklentiler

Haktan Emik
2 min readJun 1, 2020

--

Herkese Selam :)

Burp Suite, web uygulamaların güvenlik testlerini yaparken kullandığımız bir proxy aracıdır. Burp ile HTTP trafiğini yakalayabilir, istekler ve cevaplar üzerinde çeşitli manipülasyon yapabiliriz. Burp’un bu denli popüler olmasının başlıca nedenleri, sunduğu özellikler ile çeşitli işlemlerin kolaylıkla yapılabilmesi ve kendinize göre özelleştirebilir bir araç olmasındandır.

Web uygulama testleri sırasında en iyi arkadaşımızdır kendileri :)

Bu yazıda, eklentilerden bahsedeceğim. (Burp’un diğer özelliklerini başka bir yazıda detaylıca inceleyeceğiz.) Burp’te birçok eklenti mevcuttur. Daha önceden yazılan çeşitli eklentileri kullanabileceğiniz gibi kendinizde ihtiyacınıza göre bir eklenti yazarak, kullanabilirsiniz.

Burp üzerinde eklentileri;

Extender → BApp Store (PortSwigger’ın Burp Suite eklentileri için kütüphanesi) üzerinden tek tıkla kurabileceğiz gibi,

Extender → Burp Extensions → Add üzerinden de manuel olarak kurabilirsiniz.

Örnek olarak bazı eklentiler aşağıdaki gibidir:

Testleriniz sırasında, kullanacağınız eklentiler ile işlerinizi kolaylaştırabilirsiniz.

  • JSON Beautifier

Dönen cevaplardaki JSON verisinin okunmasını kolaylaştırıyor.

Github adresi: https://github.com/portswigger/json-beautifier

  • Software Vulnerability Scanner

Dönen cevaplardan öğrenilen versiyon bilgileri üzerinden (Örneğin: jQuery, PHP gibi) kullanılan versiyonun, etkilendiği zafiyetler hakkında bilgiler veriyor.

Github adresi: https://github.com/portswigger/software-vulnerability-scanner

  • Copy as Python Requests

Yapılan HTTP isteğini, python koduna çeviriyor.

Github adresi: https://github.com/portswigger/copy-as-python-requests

  • Wsdler

WSDL adresini parse ederek, SOAP isteklerini ayrıştırıyor.

Github adresi: https://github.com/portswigger/wsdler

  • HTTP Request Smuggler

HTTP Request Smuggler atağının tespitinde yardımcı olmaktadır.

Github adresi: https://github.com/portswigger/http-request-smuggler

  • AuthMatrix

Büyük ölçekli web uygulamalarında birbirinden farklı roller bulunmaktadır. Bu rollerin yapacağı işlemler, yetkiye bağlı olarak değişmektedir. Uygulama üzerinde güvenlik testleri yapılırken, her rol için yetki kontrollerinin doğru bir şekilde yapılıp, yapılmadığı test edilmelidir. İşte bu noktada AuthMatrix eklentisi hem görsel olarak hem de hız açısından oldukça fayda sağlıyor. Özellikle de rol sayısının fazla olduğu durumlarda :)

Github adresi: https://github.com/portswigger/auth-matrix

Tabii ki de bunlarla sınırlı değil :) ihtiyacınız doğrultusunda istediğiniz eklentiyi kullanabilirsiniz.

Burp Suite üzerine başka bir yazıda görüşmek üzere :)

Burpsuite
Web Security

--

--

Haktan Emik
Haktan Emik

Written by Haktan Emik

102 Followers
25 Following

Penetration Tester at TURKCELL #cybersecurity twitter.com/haktanemik

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams