BiznetBiznet

BurpSuite Redirector Extension

Yazar: Faruk Ünal

BurpSuite, web uygulama kontrollerinde gerekli pek çok kontrolü oldukça rahat bir şekilde gerçekleştirilmesine olanak tanıyan yardımcı bir araçtır. Test edilen uygulamanın teknolojisinden bağımsız olarak istekleri işlemeye ve oluşan çıktıları çeşitli şekillerde incelemeye izin vermesi ek olarak ihtiyaca özel uygulamalar yazmasına olanak tanıması en önemli avantajları arasındadır.

Web uygulama zafiyet tarama araçlarının uygulamaları keşfetmek ve istekleri üretmek için kullandıkları crawler mekanizmaları her zaman yeterli olmayabilmektedir. Özellikle isteklerin scriptler ile üretildiği bazı uygulama framework’leri ve teknolojilerinde scanner araçları scriptleri yorumlamada eksik kalabilmekte ve denetim yapılması gereken tüm istekleri üretemeyebilmektedirler. Bunun dışında bazı alanlara özel veri girilmesi gerektiği durumlarda otomatik form doldurma fonksiyonlarında yetersiz kalabilmektedir. Tüm bunlar uygulamaların tam anlamı ile kontrol edilmesini engellemektedir. Bu eksiklikleri gidermek için genelde manual scan adı verilen özellikler ile uygulamaların ziyaret edilmesini sağlayan ara birimler sağlamaktadırlar.

Ancak bazı durumlarda bu arabirimler üzerinden otomatik tespit edilemeyen veya yollanamayan bu istekleri üretmek de mümkün olmayabilir. Bu gibi durumlarda BurpSuite üzerinden kayıt altına alınan isteklerin, farklı zafiyet araçlarına yönlendirilmesi oldukça faydalı sonuçlar verebilmektedir.

Bunun dışında istenilen uygulamaları hızlı bir şekilde birden fazla araç ile kontrol etmek, login gerektiren veya http isteklerine özel başlıklar eklenmesi gereken durumlarda BurpSuite tarafında bulunan bir isteğin hızlıca farklı tarama yazılımlarına yönlendirilmesi, tarama kalitesini arttırmakta ve aynı anda daha fazla araçla hızlı bir şekilde kontrol imkanı tanımaktadır.

Testlerde bu işlemi hızlıca gerçekleştirmek, istenilen isteği farklı bir tarama aracına yönlendirmek için aşağıdaki linki verilen basit BurpSuite extension’ini hazırladık. Bu extension ile bir yandan BurpSuite üzerinden active scan modülü ile tarama yaparken, istenilen isteği farklı bir zafiyet tarama yazılımına yönlendirmek, dolayısı ile aynı anda farklı iki tarama motorunu kullanarak denetim gerçekleştirmek mümkün olmaktadır.

https://github.com/BiznetLab/BurpRedirector

 

faruk.unal
Yazar: faruk.unal