Burp Suite Derinlemesine Analiz//

[devilhack01]

SELAMUN ALEYKÜM ARKADAŞLAR BEN TÜRKHACKTEAM'DEN @devilhack01. BUGÜN SİZLERLE BURP SUİTE ARACINI ELE ALACAĞIZ. UMARIM FAYDALI OLUR...​

Burp Suite, web uygulama güvenlik testlerinde kullanılan proxy tabanlı güçlü bir analiz aracıdır. HTTPS trafiğini yakalayarak Repeater, Intruder ve Scanner gibi modüller üzerinden hem manuel hem de otomatik zafiyet testi yapılmasını sağlar.

1. Burp Suite Nedir? ​

Burp Suite; Pentester, Siber Güvenlik Analisti ve Bug Bounty araştırmacıları için dünya genelinde kullanılan en kapsamlı web uygulama güvenlik test platformudur.
​

• HTTP/HTTPS trafiğini yakalar,​
• İstekleri manipüle etmenizi sağlar,​
• Zafiyetleri otomatik veya manuel inceletebilir,​
• Tüm test sürecini tek panelde yönetirsiniz.​

2. Burp Suite Sürümleri ve Temel Farklar​

Community Edition​

• Ücretsiz​
• Proxy, Repeater, Decoder, Comparer mevcut​
• Yavaş Intruder​
• Active Scan yok​
• Öğrenme için ideal​

Professional Edition​

• Hızlı aktif tarama motoru​
• Intruder yüksek hız modu​
• Otomatik zafiyet doğrulama​
• BApp Store tam destek​
• Kurumsal pentest standardı​

3. Burp Suite Mimarisi​

[ Tarayıcı ] → [ Burp Proxy ] → [ Hedef Sunucu ]

Tüm trafik Burp üzerinden akar. Burp isteği yakalar, analiz eder, değiştirir ve gönderir. Sızma testinin kalbi Proxy yapısıdır.

4. Kurulum & İlk Yapılandırma​

4.1 Gereksinimler​

• Java 17+ ,​

• Firefox veya Chromium tabanlı tarayıcı,​

• Windows / macOS / Linux uyumlu.​

4.2 Proxy Ayarı​

IP: 127.0.0.1
Port: 8080

Burp Suite kullanım sırasında default olarak 127.0.0.1 ve 8080 portunu dinlemeye alır. Tarayıcımız da bu ayarları yaparak işlemlerin Burp Suite üzerine yönlendirme yapmalıyız. Böylelikle yapacağımız işlemlerdeki istekleri Burp yakalayabilecektir. Tarayıcı üzerinden Foxy Proxy eklentisi ile kullanmanızı tavsiye ederim. Hızlıca açıp kapatabilirsiniz.

4.3 Sertifika Yükleme​

HTTPS trafiğini çözümlemek için Burp’ın CA sertifikasını tarayıcıya yükleyin. Burp, HTTPS trafiğini okuyabilmek için kendine ait bir “sahte CA” üretir ve tarayıcının bu CA’ya güvenmesini ister. Bu sayede:

• Tarayıcı , Burp Suite ve Hedef sunucu zincirinde, Burp arada sertifikayı kırar ama tarayıcı bunu güvenilir görür.

Burp Sertifikasını Alma (Export)​

Bu adım tüm platformlar için ortak.

• Burp Suite’i başlat.
• Proxy → Options sekmesine git.
• “Proxy Listeners” kısmında 127.0.0.1:8080 satırının aktif olduğundan emin ol.
• Tarayıcıyı aç ve şu adrese git: [SIZE=4]http://burpsuite[/SIZE]
• Burp’un açtığı sayfada genelde şu tarz bir link görürsünüz: “CA Certificate” veya “Download CA Certificate”
• Bu linke tıklayın ve sertifikayı istediğiniz isimde bilgisayarınıza kaydedin.
  İlgili sertifikayı bilgisayarımıza kaydettik. Şimdi bu sertifikayı kullanmakta olduğumuz tarayıcımıza entegre edeceğiz. Ben Firefox kullandığım için bu tarayıcı üzerinden anlatacağım.

Firefox Üzerinde Sertifika Kurulumu​

Firefox, kendi sertifika deposunu kullanır; bu yüzden en temiz test ortamı genelde Firefox’tur.

1. Firefox’u aç.
2. Sağ üstten menü ve Settings (Ayarlar) kısmına gir.
3. Soldaki menüden Privacy & Security sekmesini aç.
4. Aşağı kaydırarak Certificates bölümünü bul.
5. “View Certificates…” (Sertifikaları Görüntüle) butonuna tıkla.
6. Açılan pencerede Authorities (Yetkililer) sekmesine geç.
7. Import (İçe Aktar) butonuna tıkla.
8. Az önce kaydettiğin sertifika dosyasını seç.
9. Firefox sana şu tarz bir kutucuk gösterecektir: “Trust this CA to identify websites”
10. Websites kısmına güven kutusunu işaretle ve onayla.

Artık Firefox, Burp’un ürettiği sahte sertifikaları güvenilir kabul eder ve HTTPS trafiğini kırmadan kullanmana izin verir. Ufak bir not eklemek isterim, kullanım yaptıktan sonra ilgili sertifikayı sistemden silmenizi öneririm. Güvenlik gereği sertifikayı sürekli cihazda bulundurmamanız ve işlemleriniz bittikten sonra silmeniz güvenlik açısından önemlidir.

5. Burp Suite Modüllerinin Derin Analizi​

5.1 Target (Site Map & Scope)​

• Otomatik endpoint keşfi
• API uçlarını çıkarma
• Saldırı kapsamı belirleme
• Gizli yolları bulma

5.2 Proxy​

• Intercept ON/OFF
• Request/response düzenleme
• Header ve cookie manipülasyonu

5.3 Repeater​

• HTTP isteğini tekrar tekrar gönderme
• Parametre manipülasyonu
• Kimlik doğrulama testlerinde kritik araç

Kullanım Örnekleri:

• IDOR testleri
• CSRF token davranışı
• Mantıksal hata tespiti

5.4 Intruder​

• Wordlist tabanlı test
• Parametre fuzzing
• Rate-limit testleri
• Otomatik varyasyon üretme

5.5 Decoder​

• URL encode/decode
• Base64
• Hash analizleri

5.6 Comparer​

• Yanıt farklarını bulma
• Yetki bypass testlerinde çok işe yarar

6. Başlangıç Uygulamaları (Beginner Level)​

6.1 Proxy Trafiği Yakalama​

Tarayıcı → Burp Proxy → Sunucu

• Intercept ON olmalı,
• İstek Burp Suite içerisinde canlı olarak görünür ve bu kısımda ilgili isteği düzenleyerek forward ile devam ettirebilirsiniz.

6.2 Site Haritası Çıkarma​

• Link yapısı
• Endpoint ağacı
• Parametre yapıları gibi hususları analiz edebilirsiniz.

7. Orta Seviye Kullanım (Intermediate Level)​

7.1 Parametre Manipülasyonu​

• Query parametreleri
• POST body düzenleme
• Header değiştirme gibi işlemleri düzenleyebilirsiniz.

7.2 Cookie / Session Testleri​

• HttpOnly
• SameSite
• Secure flag
• Session fixation kontrolü sağlayabilirsiniz.

7.3 Güvenlik Başlıklarını İnceleme​

• CSP
• X-Frame-Options
• Referrer-Policy

​

8. İleri Seviye Kullanım (Advanced)​

8.1 Intruder Payload Processors​

• Regex kuralları
• Encode/Decode zincirleri
• Dinamik payload üretimi

8.2 Session Handling Rules & Macros​

• Login makroları
• Dinamik token güncelleme
• API/MFA testlerinde sık kullanılır

​

8.3 Burp Suite Eklentileri (BApp Store)​

Burp Suite'in ilgili web sitesine giderek https://portswigger.net/bappstore , en çok kullanılan profesyonel eklentileri bulabilir ve Burp Suite'e ekleyebilirsiniz. En çok tercih edilen 4 eklenti aşağıdaki gibidir:

• Logger++ eklentisi ile gelişmiş trafik kaydı alabilirsiniz.
• Active Scan++ eklentisi ile daha kapsamlı tarama yapabilirsiniz.
• Turbo Intruder eklentisi ile yüksek hızlı fuzzing,
• Autorize ile yetki yükseltme testlerinde gold standard kullanımı sağlayabilirsiniz.

9. Yaygın Hatalar ve Çözümleri​

Proxy çalışmıyor sebebi ne olabilir ?​

Tarayıcı doğru proxy’de mi? Ayrıca VPN / firewall engelliyor olabilir. Bunun kontrolünü sağlamak lazım.

​

HTTPS trafiği görünmüyor neyden kaynaklanıyor olabilir ?​

CA sertifikası eksik veya HSTS zorlaması olabilir, bunun için farklı bir tarayıcıda deneyin.

​

Intruder çok yavaş nasıl çözebilirim ?​

Community sürümü sınırlıdır. Eğer ücretli sürümü kullanmıyorsanız Resource Pool ayarlarını artırarak ayarlama yapabilirsiniz.

​

Burp Suite ne için kullanılır ?​

HTTPS trafiğini yakalayıp analiz etmeye ve web uygulamalarını test etmeye yarar.

Burp Proxy nasıl çalışır ?​

Tarayıcı trafiğini 127.0.0.1:8080 üzerinden Burp’a yönlendirir.

Intruder ne işe yarar ?​

Parametre fuzzing ve otomatik test yapar.

Burp ücretli mi ?​

Community ücretsizdir, Professional ücretlidir.

API testlerinde Burp kullanılabilir mi ?​

Evet. Repeater ve spesifik eklentilerle yaygın olarak kullanılır.

Evet arkadaşlar genel olarak Burp Suite nedir, hangi alanlarda ve başlıklarda işlemler yapabilme kabiliyeti vardır gibi sorulara cevap verdiğimizi düşünmekteyim. İlerleyen zamanlarda videolu anlatım da yapılabilecek bir konu. Umarım açıklayıcı ve anlaşılır olmuştur. Kafanıza takılan kısımları ve ayrıntıları özelden sorabilirsiniz. Herkese iyi forumlar dilerim.

Geçmiş Dönem Açmış Olduğum Konular:

Nmap Derin Analiz//
Hashcat Derin Analiz//
Kali Linux Bilgi Toplama Araçları
Kali Linux Zafiyet Analizi Araçları
Nuclei Derinlemesine Analiz//
John the Ripple Derin Analiz//

 

[Watnea]

Gerçekten işin merkezi olan programları anlatmanız daha güzel eline emeğine sağlık. Devamını bekliyor olacağım.

 

[spyizxa1]

SELAMUN ALEYKÜM ARKADAŞLAR BEN TÜRKHACKTEAM'DEN @devilhack01. BUGÜN SİZLERLE BURP SUİTE ARACINI ELE ALACAĞIZ. UMARIM FAYDALI OLUR...​

Burp Suite, web uygulama güvenlik testlerinde kullanılan proxy tabanlı güçlü bir analiz aracıdır. HTTPS trafiğini yakalayarak Repeater, Intruder ve Scanner gibi modüller üzerinden hem manuel hem de otomatik zafiyet testi yapılmasını sağlar.

1. Burp Suite Nedir? ​

Burp Suite; Pentester, Siber Güvenlik Analisti ve Bug Bounty araştırmacıları için dünya genelinde kullanılan en kapsamlı web uygulama güvenlik test platformudur.
​

• HTTP/HTTPS trafiğini yakalar,​
• İstekleri manipüle etmenizi sağlar,​
• Zafiyetleri otomatik veya manuel inceletebilir,​
• Tüm test sürecini tek panelde yönetirsiniz.​

2. Burp Suite Sürümleri ve Temel Farklar​

Community Edition​

• Ücretsiz​
• Proxy, Repeater, Decoder, Comparer mevcut​
• Yavaş Intruder​
• Active Scan yok​
• Öğrenme için ideal​

Professional Edition​

• Hızlı aktif tarama motoru​
• Intruder yüksek hız modu​
• Otomatik zafiyet doğrulama​
• BApp Store tam destek​
• Kurumsal pentest standardı​

3. Burp Suite Mimarisi​

[ Tarayıcı ] → [ Burp Proxy ] → [ Hedef Sunucu ]

Tüm trafik Burp üzerinden akar. Burp isteği yakalar, analiz eder, değiştirir ve gönderir. Sızma testinin kalbi Proxy yapısıdır.

4. Kurulum & İlk Yapılandırma​

4.1 Gereksinimler​

• Java 17+ ,​

• Firefox veya Chromium tabanlı tarayıcı,​

• Windows / macOS / Linux uyumlu.​

4.2 Proxy Ayarı​

IP: 127.0.0.1
Port: 8080

Burp Suite kullanım sırasında default olarak 127.0.0.1 ve 8080 portunu dinlemeye alır. Tarayıcımız da bu ayarları yaparak işlemlerin Burp Suite üzerine yönlendirme yapmalıyız. Böylelikle yapacağımız işlemlerdeki istekleri Burp yakalayabilecektir. Tarayıcı üzerinden Foxy Proxy eklentisi ile kullanmanızı tavsiye ederim. Hızlıca açıp kapatabilirsiniz.

4.3 Sertifika Yükleme​

HTTPS trafiğini çözümlemek için Burp’ın CA sertifikasını tarayıcıya yükleyin. Burp, HTTPS trafiğini okuyabilmek için kendine ait bir “sahte CA” üretir ve tarayıcının bu CA’ya güvenmesini ister. Bu sayede:

• Tarayıcı , Burp Suite ve Hedef sunucu zincirinde, Burp arada sertifikayı kırar ama tarayıcı bunu güvenilir görür.

Burp Sertifikasını Alma (Export)​

Bu adım tüm platformlar için ortak.

• Burp Suite’i başlat.
• Proxy → Options sekmesine git.
• “Proxy Listeners” kısmında 127.0.0.1:8080 satırının aktif olduğundan emin ol.
• Tarayıcıyı aç ve şu adrese git: [SIZE=4]http://burpsuite[/SIZE]
• Burp’un açtığı sayfada genelde şu tarz bir link görürsünüz: “CA Certificate” veya “Download CA Certificate”
• Bu linke tıklayın ve sertifikayı istediğiniz isimde bilgisayarınıza kaydedin.
  İlgili sertifikayı bilgisayarımıza kaydettik. Şimdi bu sertifikayı kullanmakta olduğumuz tarayıcımıza entegre edeceğiz. Ben Firefox kullandığım için bu tarayıcı üzerinden anlatacağım.

Firefox Üzerinde Sertifika Kurulumu​

Firefox, kendi sertifika deposunu kullanır; bu yüzden en temiz test ortamı genelde Firefox’tur.

1. Firefox’u aç.
2. Sağ üstten menü ve Settings (Ayarlar) kısmına gir.
3. Soldaki menüden Privacy & Security sekmesini aç.
4. Aşağı kaydırarak Certificates bölümünü bul.
5. “View Certificates…” (Sertifikaları Görüntüle) butonuna tıkla.
6. Açılan pencerede Authorities (Yetkililer) sekmesine geç.
7. Import (İçe Aktar) butonuna tıkla.
8. Az önce kaydettiğin sertifika dosyasını seç.
9. Firefox sana şu tarz bir kutucuk gösterecektir: “Trust this CA to identify websites”
10. Websites kısmına güven kutusunu işaretle ve onayla.

Artık Firefox, Burp’un ürettiği sahte sertifikaları güvenilir kabul eder ve HTTPS trafiğini kırmadan kullanmana izin verir. Ufak bir not eklemek isterim, kullanım yaptıktan sonra ilgili sertifikayı sistemden silmenizi öneririm. Güvenlik gereği sertifikayı sürekli cihazda bulundurmamanız ve işlemleriniz bittikten sonra silmeniz güvenlik açısından önemlidir.

5. Burp Suite Modüllerinin Derin Analizi​

5.1 Target (Site Map & Scope)​

• Otomatik endpoint keşfi
• API uçlarını çıkarma
• Saldırı kapsamı belirleme
• Gizli yolları bulma

5.2 Proxy​

• Intercept ON/OFF
• Request/response düzenleme
• Header ve cookie manipülasyonu

5.3 Repeater​

• HTTP isteğini tekrar tekrar gönderme
• Parametre manipülasyonu
• Kimlik doğrulama testlerinde kritik araç

Kullanım Örnekleri:

• IDOR testleri
• CSRF token davranışı
• Mantıksal hata tespiti

5.4 Intruder​

• Wordlist tabanlı test
• Parametre fuzzing
• Rate-limit testleri
• Otomatik varyasyon üretme

5.5 Decoder​

• URL encode/decode
• Base64
• Hash analizleri

5.6 Comparer​

• Yanıt farklarını bulma
• Yetki bypass testlerinde çok işe yarar

6. Başlangıç Uygulamaları (Beginner Level)​

6.1 Proxy Trafiği Yakalama​

Tarayıcı → Burp Proxy → Sunucu

• Intercept ON olmalı,
• İstek Burp Suite içerisinde canlı olarak görünür ve bu kısımda ilgili isteği düzenleyerek forward ile devam ettirebilirsiniz.

6.2 Site Haritası Çıkarma​

• Link yapısı
• Endpoint ağacı
• Parametre yapıları gibi hususları analiz edebilirsiniz.

7. Orta Seviye Kullanım (Intermediate Level)​

7.1 Parametre Manipülasyonu​

• Query parametreleri
• POST body düzenleme
• Header değiştirme gibi işlemleri düzenleyebilirsiniz.

7.2 Cookie / Session Testleri​

• HttpOnly
• SameSite
• Secure flag
• Session fixation kontrolü sağlayabilirsiniz.

7.3 Güvenlik Başlıklarını İnceleme​

• CSP
• X-Frame-Options
• Referrer-Policy

​

8. İleri Seviye Kullanım (Advanced)​

8.1 Intruder Payload Processors​

• Regex kuralları
• Encode/Decode zincirleri
• Dinamik payload üretimi

8.2 Session Handling Rules & Macros​

• Login makroları
• Dinamik token güncelleme
• API/MFA testlerinde sık kullanılır

​

8.3 Burp Suite Eklentileri (BApp Store)​

Burp Suite'in ilgili web sitesine giderek https://portswigger.net/bappstore , en çok kullanılan profesyonel eklentileri bulabilir ve Burp Suite'e ekleyebilirsiniz. En çok tercih edilen 4 eklenti aşağıdaki gibidir:

• Logger++ eklentisi ile gelişmiş trafik kaydı alabilirsiniz.
• Active Scan++ eklentisi ile daha kapsamlı tarama yapabilirsiniz.
• Turbo Intruder eklentisi ile yüksek hızlı fuzzing,
• Autorize ile yetki yükseltme testlerinde gold standard kullanımı sağlayabilirsiniz.

9. Yaygın Hatalar ve Çözümleri​

Proxy çalışmıyor sebebi ne olabilir ?​

Tarayıcı doğru proxy’de mi? Ayrıca VPN / firewall engelliyor olabilir. Bunun kontrolünü sağlamak lazım.

​

HTTPS trafiği görünmüyor neyden kaynaklanıyor olabilir ?​

CA sertifikası eksik veya HSTS zorlaması olabilir, bunun için farklı bir tarayıcıda deneyin.

​

Intruder çok yavaş nasıl çözebilirim ?​

Community sürümü sınırlıdır. Eğer ücretli sürümü kullanmıyorsanız Resource Pool ayarlarını artırarak ayarlama yapabilirsiniz.

​

Burp Suite ne için kullanılır ?​

HTTPS trafiğini yakalayıp analiz etmeye ve web uygulamalarını test etmeye yarar.

Burp Proxy nasıl çalışır ?​

Tarayıcı trafiğini 127.0.0.1:8080 üzerinden Burp’a yönlendirir.

Intruder ne işe yarar ?​

Parametre fuzzing ve otomatik test yapar.

Burp ücretli mi ?​

Community ücretsizdir, Professional ücretlidir.

API testlerinde Burp kullanılabilir mi ?​

Evet. Repeater ve spesifik eklentilerle yaygın olarak kullanılır.

Evet arkadaşlar genel olarak Burp Suite nedir, hangi alanlarda ve başlıklarda işlemler yapabilme kabiliyeti vardır gibi sorulara cevap verdiğimizi düşünmekteyim. İlerleyen zamanlarda videolu anlatım da yapılabilecek bir konu. Umarım açıklayıcı ve anlaşılır olmuştur. Kafanıza takılan kısımları ve ayrıntıları özelden sorabilirsiniz. Herkese iyi forumlar dilerim.

Geçmiş Dönem Açmış Olduğum Konular:

Nmap Derin Analiz//
Hashcat Derin Analiz//
Kali Linux Bilgi Toplama Araçları
Kali Linux Zafiyet Analizi Araçları
Nuclei Derinlemesine Analiz//
John the Ripple Derin Analiz//

eline sağlık güzel içerik

 

[an0un]

Elinize sağlık

 

[devilhack01]

Gerçekten işin merkezi olan programları anlatmanız daha güzel eline emeğine sağlık. Devamını bekliyor olacağım.

eline sağlık güzel içerik

Elinize sağlık

Teşekkür ederim yorumlarınız için.

 

[Kryzlo]

SELAMUN ALEYKÜM ARKADAŞLAR BEN TÜRKHACKTEAM'DEN @devilhack01. BUGÜN SİZLERLE BURP SUİTE ARACINI ELE ALACAĞIZ. UMARIM FAYDALI OLUR...​

Burp Suite, web uygulama güvenlik testlerinde kullanılan proxy tabanlı güçlü bir analiz aracıdır. HTTPS trafiğini yakalayarak Repeater, Intruder ve Scanner gibi modüller üzerinden hem manuel hem de otomatik zafiyet testi yapılmasını sağlar.

1. Burp Suite Nedir? ​

Burp Suite; Pentester, Siber Güvenlik Analisti ve Bug Bounty araştırmacıları için dünya genelinde kullanılan en kapsamlı web uygulama güvenlik test platformudur.
​

• HTTP/HTTPS trafiğini yakalar,​
• İstekleri manipüle etmenizi sağlar,​
• Zafiyetleri otomatik veya manuel inceletebilir,​
• Tüm test sürecini tek panelde yönetirsiniz.​

2. Burp Suite Sürümleri ve Temel Farklar​

Community Edition​

• Ücretsiz​
• Proxy, Repeater, Decoder, Comparer mevcut​
• Yavaş Intruder​
• Active Scan yok​
• Öğrenme için ideal​

Professional Edition​

• Hızlı aktif tarama motoru​
• Intruder yüksek hız modu​
• Otomatik zafiyet doğrulama​
• BApp Store tam destek​
• Kurumsal pentest standardı​

3. Burp Suite Mimarisi​

[ Tarayıcı ] → [ Burp Proxy ] → [ Hedef Sunucu ]

Tüm trafik Burp üzerinden akar. Burp isteği yakalar, analiz eder, değiştirir ve gönderir. Sızma testinin kalbi Proxy yapısıdır.

4. Kurulum & İlk Yapılandırma​

4.1 Gereksinimler​

• Java 17+ ,​

• Firefox veya Chromium tabanlı tarayıcı,​

• Windows / macOS / Linux uyumlu.​

4.2 Proxy Ayarı​

IP: 127.0.0.1
Port: 8080

Burp Suite kullanım sırasında default olarak 127.0.0.1 ve 8080 portunu dinlemeye alır. Tarayıcımız da bu ayarları yaparak işlemlerin Burp Suite üzerine yönlendirme yapmalıyız. Böylelikle yapacağımız işlemlerdeki istekleri Burp yakalayabilecektir. Tarayıcı üzerinden Foxy Proxy eklentisi ile kullanmanızı tavsiye ederim. Hızlıca açıp kapatabilirsiniz.

4.3 Sertifika Yükleme​

HTTPS trafiğini çözümlemek için Burp’ın CA sertifikasını tarayıcıya yükleyin. Burp, HTTPS trafiğini okuyabilmek için kendine ait bir “sahte CA” üretir ve tarayıcının bu CA’ya güvenmesini ister. Bu sayede:

• Tarayıcı , Burp Suite ve Hedef sunucu zincirinde, Burp arada sertifikayı kırar ama tarayıcı bunu güvenilir görür.

Burp Sertifikasını Alma (Export)​

Bu adım tüm platformlar için ortak.

• Burp Suite’i başlat.
• Proxy → Options sekmesine git.
• “Proxy Listeners” kısmında 127.0.0.1:8080 satırının aktif olduğundan emin ol.
• Tarayıcıyı aç ve şu adrese git: [SIZE=4]http://burpsuite[/SIZE]
• Burp’un açtığı sayfada genelde şu tarz bir link görürsünüz: “CA Certificate” veya “Download CA Certificate”
• Bu linke tıklayın ve sertifikayı istediğiniz isimde bilgisayarınıza kaydedin.
  İlgili sertifikayı bilgisayarımıza kaydettik. Şimdi bu sertifikayı kullanmakta olduğumuz tarayıcımıza entegre edeceğiz. Ben Firefox kullandığım için bu tarayıcı üzerinden anlatacağım.

Firefox Üzerinde Sertifika Kurulumu​

Firefox, kendi sertifika deposunu kullanır; bu yüzden en temiz test ortamı genelde Firefox’tur.

1. Firefox’u aç.
2. Sağ üstten menü ve Settings (Ayarlar) kısmına gir.
3. Soldaki menüden Privacy & Security sekmesini aç.
4. Aşağı kaydırarak Certificates bölümünü bul.
5. “View Certificates…” (Sertifikaları Görüntüle) butonuna tıkla.
6. Açılan pencerede Authorities (Yetkililer) sekmesine geç.
7. Import (İçe Aktar) butonuna tıkla.
8. Az önce kaydettiğin sertifika dosyasını seç.
9. Firefox sana şu tarz bir kutucuk gösterecektir: “Trust this CA to identify websites”
10. Websites kısmına güven kutusunu işaretle ve onayla.

Artık Firefox, Burp’un ürettiği sahte sertifikaları güvenilir kabul eder ve HTTPS trafiğini kırmadan kullanmana izin verir. Ufak bir not eklemek isterim, kullanım yaptıktan sonra ilgili sertifikayı sistemden silmenizi öneririm. Güvenlik gereği sertifikayı sürekli cihazda bulundurmamanız ve işlemleriniz bittikten sonra silmeniz güvenlik açısından önemlidir.

5. Burp Suite Modüllerinin Derin Analizi​

5.1 Target (Site Map & Scope)​

• Otomatik endpoint keşfi
• API uçlarını çıkarma
• Saldırı kapsamı belirleme
• Gizli yolları bulma

5.2 Proxy​

• Intercept ON/OFF
• Request/response düzenleme
• Header ve cookie manipülasyonu

5.3 Repeater​

• HTTP isteğini tekrar tekrar gönderme
• Parametre manipülasyonu
• Kimlik doğrulama testlerinde kritik araç

Kullanım Örnekleri:

• IDOR testleri
• CSRF token davranışı
• Mantıksal hata tespiti

5.4 Intruder​

• Wordlist tabanlı test
• Parametre fuzzing
• Rate-limit testleri
• Otomatik varyasyon üretme

5.5 Decoder​

• URL encode/decode
• Base64
• Hash analizleri

5.6 Comparer​

• Yanıt farklarını bulma
• Yetki bypass testlerinde çok işe yarar

6. Başlangıç Uygulamaları (Beginner Level)​

6.1 Proxy Trafiği Yakalama​

Tarayıcı → Burp Proxy → Sunucu

• Intercept ON olmalı,
• İstek Burp Suite içerisinde canlı olarak görünür ve bu kısımda ilgili isteği düzenleyerek forward ile devam ettirebilirsiniz.

6.2 Site Haritası Çıkarma​

• Link yapısı
• Endpoint ağacı
• Parametre yapıları gibi hususları analiz edebilirsiniz.

7. Orta Seviye Kullanım (Intermediate Level)​

7.1 Parametre Manipülasyonu​

• Query parametreleri
• POST body düzenleme
• Header değiştirme gibi işlemleri düzenleyebilirsiniz.

7.2 Cookie / Session Testleri​

• HttpOnly
• SameSite
• Secure flag
• Session fixation kontrolü sağlayabilirsiniz.

7.3 Güvenlik Başlıklarını İnceleme​

• CSP
• X-Frame-Options
• Referrer-Policy

​

8. İleri Seviye Kullanım (Advanced)​

8.1 Intruder Payload Processors​

• Regex kuralları
• Encode/Decode zincirleri
• Dinamik payload üretimi

8.2 Session Handling Rules & Macros​

• Login makroları
• Dinamik token güncelleme
• API/MFA testlerinde sık kullanılır

​

8.3 Burp Suite Eklentileri (BApp Store)​

Burp Suite'in ilgili web sitesine giderek https://portswigger.net/bappstore , en çok kullanılan profesyonel eklentileri bulabilir ve Burp Suite'e ekleyebilirsiniz. En çok tercih edilen 4 eklenti aşağıdaki gibidir:

• Logger++ eklentisi ile gelişmiş trafik kaydı alabilirsiniz.
• Active Scan++ eklentisi ile daha kapsamlı tarama yapabilirsiniz.
• Turbo Intruder eklentisi ile yüksek hızlı fuzzing,
• Autorize ile yetki yükseltme testlerinde gold standard kullanımı sağlayabilirsiniz.

9. Yaygın Hatalar ve Çözümleri​

Proxy çalışmıyor sebebi ne olabilir ?​

Tarayıcı doğru proxy’de mi? Ayrıca VPN / firewall engelliyor olabilir. Bunun kontrolünü sağlamak lazım.

​

HTTPS trafiği görünmüyor neyden kaynaklanıyor olabilir ?​

CA sertifikası eksik veya HSTS zorlaması olabilir, bunun için farklı bir tarayıcıda deneyin.

​

Intruder çok yavaş nasıl çözebilirim ?​

Community sürümü sınırlıdır. Eğer ücretli sürümü kullanmıyorsanız Resource Pool ayarlarını artırarak ayarlama yapabilirsiniz.

​

Burp Suite ne için kullanılır ?​

HTTPS trafiğini yakalayıp analiz etmeye ve web uygulamalarını test etmeye yarar.

Burp Proxy nasıl çalışır ?​

Tarayıcı trafiğini 127.0.0.1:8080 üzerinden Burp’a yönlendirir.

Intruder ne işe yarar ?​

Parametre fuzzing ve otomatik test yapar.

Burp ücretli mi ?​

Community ücretsizdir, Professional ücretlidir.

API testlerinde Burp kullanılabilir mi ?​

Evet. Repeater ve spesifik eklentilerle yaygın olarak kullanılır.

Evet arkadaşlar genel olarak Burp Suite nedir, hangi alanlarda ve başlıklarda işlemler yapabilme kabiliyeti vardır gibi sorulara cevap verdiğimizi düşünmekteyim. İlerleyen zamanlarda videolu anlatım da yapılabilecek bir konu. Umarım açıklayıcı ve anlaşılır olmuştur. Kafanıza takılan kısımları ve ayrıntıları özelden sorabilirsiniz. Herkese iyi forumlar dilerim.

Geçmiş Dönem Açmış Olduğum Konular:

Nmap Derin Analiz//
Hashcat Derin Analiz//
Kali Linux Bilgi Toplama Araçları
Kali Linux Zafiyet Analizi Araçları
Nuclei Derinlemesine Analiz//
John the Ripple Derin Analiz//

Ellerine sağlık abi

 

[devilhack01]

Ellerine sağlık abi

Teşekkür ederim dostum