1.                                                

BURPSUİTE - WEB UYGULAMA PENETRASYON(bilgi toplama) TESTİ

'Tools' forumunda Bay Pipo tarafından 28 Eylül 2015 tarihinde açılan konu

  1. Bay Pipo

    Bay Pipo Moderator

    Katılım:
    10 Eylül 2015
    Mesaj:
    525
    Beğeniler:
    9
    Ödül Puanları:
    18

    BURPSUİTE - WEB UYGULAMA PENETRASYON(bilgi toplama) TESTİ

    Burp Suite tek aracı özelliklerin web uygulama testidir.bu test çeşitli ( bir kullanıcı dostu bir arayüze sahiptir ) , bir aracı Pencere içinde çeşitli penetrasyon testleri görevleri gerçekleştirmek için yardımcı olur.Web uygulama araçları çok ve mevcut araçların en iyisidir.

    Burp aşağıdaki özellikleri ile birlikte geliyor;


    -Bir İsteğe müdahale
    -Anında İsteği değiştirme
    -Güvenlik açıkları için bir web uygulaması Tarama
    -Brute zorlayarak giriş formları

    Bu yazım Burp özelliklerini tartışacak ve bir web uygulaması penetrasyon testi sırasında yardımcı olacaktır.

    1-) PROXY- Proxy Burpsuite en kullanışlı özelliği ve diğer özelliklere geçmeden önce anlaşılmalıdır.Burp Suite, dahili Proxy ile geliyor ki bu proxy yapılandırılmış ve varsayılan bağlantı noktası 8080 çalıştırılır(Ancak biz her zaman penetrasyon testi ihtiyaçlarına göre port numarasını değiştirebilirsiniz).Bu proxy kullanarak , biz yakalama yapabilir ve web uygulaması için istemci sisteminden akarken trafiği değiştirebiliriz.BU proxy'i kullanmak için yapmamız gereken bu proxy i kullanarak tarayıcımızı kullanmak için yapılandırmak olacaktır.Bu proxy özelliği Server arasındaki ortak HTTP istekleri ve yanıtları değiştirmenize olanak sağlar.


    2-)SPİDER - Burp Suite örümcek özelliği web uygulamaları tarama vb yeni bağlantılar , içerik , bakmak için kullanılır.Otomatik giriş formları gönderir (kullanıcı tanımlı girişi üzerinden) giriş formları gönderir ve yanıtlardan yeni içerik arar.Bu bilgiler daha sonra örümcek tarafından sağlanan tüm bağlantılar ve içerik üzerinde ayrıntılı tarama gerçekleştirmek için Burp Tarayıcı gönderilebilir.Burp Örümcek haritalama web uygulaması için kullanılır.Bu bağlantılar daha sonra tarayıcı tarafından sağlanan bilgileri kullanarak detaylı bir tarama gerçekleştirmek için Burp Tarayıcı üzerinden geçirilebilir.


    3-)SCANNER - Bu güvenlik açıkları için web uygulamaları taramak için kullanılır.Bazı yanlışlıklar testler sırasında oluşabilir.Hiçbir otomatik tarayıcı sonuçlarında yüzde 100 doğru olmadığını hatırlamak gerekir.
    Burp Scanner ücretsiz sürümü ile mevcut değildir.Burp Tarayıcı hakkında daha fazla bilgi bulabilirsiniz

    4-)INTRUDER - Bu özellik brute-force saldırıları ve diğer birçok güvenlik açıklarını istismar etmek için kullanılır.
    Bu gibi durumlarda biz DVWA ya karşı kaba kuvvet saldırısı gerçekleştirmek için Burp-Suite ıntruder özelliğini kullanacağız.DVWA üzerinde göz arın ve Brute force tıklayın.Herhangi username ve password girin ve Burp Suite ile kesiştiğine amin olup login olun.
    Talep Burp Suite tarafından ele alınacaktır, onun üzerine sağ tıklayın ve intruder göndermek için tıklayın.


    5-)REPEATER - Bu özellik değiştirmek ve aynı İsteği bir kaç kez göndermek ve bütün bu farklı durumlarda yanıtları analiz etmek için kullanılır.Bunun için Repeater Burp için bir istek göndermek gerekiyor.



    6-)SEQUENCER - Bu özellik özellikle web uygulama tarafından sağlanan oturum belirteçleri rasgeleliğini kontrol etmek için kullanılır.Bu oturumda belirteçleri genellikle kullanıcının kimliğini doğrulamak için kullanılır.Bir web uygulaması oturum belirteçleri için rastgele bir yüksek derecede sahip olması önemlidir bu yüzden O kaba kuvvet saldırıları buna karşı başarılı değildir. Biz sequencer bir oturum belirteci döndüren bir istek göndermek için gereken defalarca isteği göndeririz.
    Böylece oturum kimlikleri sayısınıyükselir.Daha sonra rastgelelik belirlemek için çeşitli istatistiksel testler aracılığıyla bu oturum kimlikleri geçer.

    7-)DECODER -


    Dekoder özelliği orijinal formunu geri almak için verileri çözmek için, ya da kodlamak ve verileri şifrelemek için kullanılır.
    Burp Suite Dekoder kodlanmış verilerin kodunu ve geri kanonik forma almak için kullanılabilir.
    Aynı zamanda kodlamak ve kodlanmış ve şifrelenmiş formlarını almak için verileri şifrelemek için de kullanılabilir.Biz manuel olarak dekoder veri yapıştırmaya ya da bir kodlanmış istek gönderebiliriz.



    :cool:COMPARER - Burp Suite Comparer özelliği herhangi iki istekleri, yanıtların veya verilerin başka bir biçimde arasında bir karşılaştırma yapmak için kullanılır.Farklı girişli yanıtlarıkarşılaştırırken Bu özellik yararlı olabilir.




    translated by HACKKURT
     

Bu Sayfayı Paylaş

Share