Burp Suite Nedir ?
Burp Suite, web uygulama güvenliği üzerine çalışmalar yapan PortSwigger şirketinin geliştirmiş olduğu bir yazılımdır. Web uygulama güvenliği ile ilgilenenlerin en çok tercih ettiği popüler yazılımlardan biridir. Java ile yazılmış olup, her platforma desteği sağlamasıda yazılımın en güzel özelliklerinden biridir. Birçok özelliğe sahip olup içerisinde birçok modül vardır. Burp Suite Enterprise, Burp Suite Professional, Burp Suite Community Sürümleri ile geniş bir kitleye hitap ediyor.
Burp Suite Ne İşe Yarar ?
Burp Suite’in aşağıdaki görselde görmüş olduğunuz gibi birçok modülü vardır. Burp Suite kapsamlı bir yazılım olduğu için her bir özelliğini tek tek açıklamak konuyu uzatacaktır. Peki bu modüller ne işe yarar ? Kısaca bahsedelim.
Target : Hedef alanıdır. Bu alanda Yolladığınız istekler, Web uygulaması üzerinde gezdiğiniz sayfalar ve isteğe ait birçok bilgi vardır. Scope Bölümü ile de istekleri filitreleyebilirsiniz. Buda kolaylık sağlar.
Proxy : Web uygulamaları Browser ( Tarayıcı ) > Client ( İstemci ) > Sercer ( Sunucu ) yapısı üzerinde çalışır. Burp Suite’nin proxy özelliği ile web uygulamalarında attığınız isteği sunucuya gitmeden proxy yardımıyla araya girip yakalayarak, bu isteğin içeriğini görüntüleme, düzenleme ve isteği düzenlediten sonra sunucuya göndermek gibi birçok özellik sağlıyor. Buda web uygulama güvenliği ile ilgilenenlerin olmazsa olmaz özelliklerinden biridir.
Spider : Bu özellik, Burp Suite’ın 2.0 sürümünden itibaren Burp Suite Community sürümünden kaldırılıp, Burp Suite Professioanal sürümünde scanner kısmına crawel adı ile taşınmıştır. Buda web uygulaması üzerinde bulunan url ve sayfaları bulmaya yarar.
Scanner : OWASP Top 10 Güvenlik zaafiyerlerinin yanında 200 den fazla güvenlik zaafiyetini tarama özelliğine sahiptir.
Intruder : Gelişmiş payload denemeleri ve Web uygulamalarına brute force işlemlerini sağlayan bir özelliktir.
Repeater : Proxy kısmında yakaladığınız istek üzerinde işlemler yapmanızı sağlayan bir özelliktir.
Sequencer : Web uygulamalarındaki Session Token veya cookie leri kontrol etmek, analiz etmek veya brute force gibi işlemleri sağlayan bir özelliktir.
Decoder : base64, URL,MD5 veya SHA-1 gibi formatları, şifreleyip veya bunları kırmayı sağlayan bir özelliktir.
Comparer : İki farklı isteği veya ikiden fazla isteği karşılaştırmayı sağlayan bir özelliktir.
Extender : BAAP Store modülü ile 3. taraf Java veya Python yazılımlarınızı ekleyip çalıştırabilirsiniz. Bunun yanında içerisinde birçok hazır yazılımlar bulundurmaktadır. Bir diğer modülü ise java yazılımlarını Jython sayesinde python olarak, Java yazılımlarını JRuby sayesinde Ruby olarak çalıştırabilmektedir.
