Burp Suite Nedir ve Kimler Kullanır?

PortSwigger tarafından geliştirilen Burp Suite, web uygulamalarındaki güvenlik açıklarını tespit etmek için kullanılan kapsamlı bir platformdur. Proxy, tarayıcı, intruder, repeater ve scanner modülleri HTTP/HTTPS trafiğini yakalayıp analiz etmenizi sağlar. Professional sürüm gelişmiş tarama motoru ve raporlama özellikleri sunar. Güvenlik uzmanları, pentest ekipleri ve bug bounty avcıları tarafından yaygın biçimde tercih edilir.

Bu yazıda korsan yazılım veya lisanssız indirme yöntemlerini paylaşmıyoruz. Burp Suite yalnızca PortSwigger resmi sitesinden temin edilmelidir. Etik hackerlık yazılı izin alınmış sistemlerle sınırlıdır; izinsiz tarama Türkiye'de TCK kapsamında suç teşkil edebilir. Temiz ve lisanslı kurulum hem hukuki güvenlik hem de güncelleme desteği sağlar.

Professional Sürümün Modülleri

Proxy modülü tarayıcı ile hedef sunucu arasına girerek istek ve yanıtları düzenlemenize olanak tanır. Repeater tek bir isteği tekrar gönderip parametre enjeksiyonlarını test eder. Intruder brute force ve fuzzing senaryolarında otomasyon sağlar; yalnızca sözleşmeli pentest kapsamında kullanılmalıdır. Sequencer oturum belirteçlerinin rastgeleliğini ölçer.

2020.9.2 sürümü o dönemin TLS standartları için güncellenmişti. Güncel projelerde yeni sürümler yeni zafiyet imzalarından yararlanmanızı sağlar. Community Edition ücretsizdir ve öğrenme amaçlı birçok modülü içerir. Professional lisans yıllık yenilenir; kurumsal sözleşmelerde toplu lisans avantajlı olabilir.

Yasal ve Etik Kullanım Çerçevesi

Penetrasyon testine başlamadan önce yazılı kapsam belgesi alın. Test edilecek URL'ler, IP aralıkları ve yasaklı eylemler net olmalıdır. Canlı ortamda veri silme veya hizmet kesintisine yol açacak saldırılar kapsam dışı bırakılmalıdır. Müşteri tarafında teknik kontaktan onay almadan gece taraması planlamayın.

  • PortSwigger resmi sitesinden lisans satın alın veya eğitim lisansını değerlendirin.
  • Bug bounty programlarında platform kurallarına uyun; out-of-scope hedeflere dokunmayın.
  • Test sırasında elde edilen kişisel verileri rapordan sonra imha edin.
  • Öğrenme için DVWA, WebGoat gibi yerel laboratuvar ortamları kurun.
  • Bulguları sorumlu açıklama ile paylaşın.

Kurulum ve İlk Yapılandırma

Burp Suite Java tabanlıdır. Tarayıcınızı Burp proxy'sine yönlendirdikten sonra PortSwigger CA sertifikasını içe aktarmanız HTTPS trafiğinin çözülmesi için şarttır. Sertifikayı yalnızca test makinenize kurun; günlük tarayıcıya eklemeyin. Proje dosyalarını şifreli disklerde saklayın; içinde oturum çerezleri bulunabilir.

Scanner ve Raporlama

Otomatik tarayıcı SQL injection ve XSS gibi bilinen desenleri yakalar; iş mantığı hataları insan analizi gerektirir. Site haritası keşfedilen uç noktaları ağaç yapısında gösterir. Collaborator out-of-band etkileşimleri izler; blind SSRF testlerinde değerlidir. Raporları PDF veya HTML olarak dışa aktarırken hassas URL parametrelerini maskeleyin.

OWASP ZAP açık kaynaklı bir alternatiftir. Burp Suite Academy ücretsiz interaktif dersler sunar. Web güvenliği SQL injection'dan SSRF'e geniş bir yelpaze kapsar. Aracın gücü onu yasal ve etik sınırlar içinde kullanan uzmanın bilgisinden gelir.

Sonuç

Burp Suite Professional lisanslı ve yetkili kullanım gerektirir. Kariyerinize siber güvenlik uzmanı olarak devam edecekseniz resmi eğitim materyalleri en sağlam yatırımdır. Korsan sürüm kullanımı hem hukuki risk hem zararlı yazılım taşıyabilir.

Burp Collaborator ve Out-of-Band Testler

Collaborator out-of-band DNS ve HTTP callback etkileşimlerini izler; blind SSRF kanıtında kritik rol oynar. Self-hosted Collaborator kurulumu kurumsal ağda izole segmentte çalıştırılabilir. Her oturum için benzersiz subdomain üretilir ve test bitince kayıtlar silinmelidir. CI/CD pipeline entegrasyonunda Critical eşik aşılınca build kırılabilir; Jira ticket otomasyonu bulgu takibini hızlandırır.

Modern Protokoller ve GraphQL

WebSocket trafiği proxy üzerinden yakalanarak SPA uygulamalarında gerçek zamanlı mesajlaşma test edilir. HTTP/2 multiplexing parametre enjeksiyon testlerini karmaşıklaştırabilir; ALPN negotiation doğru yapılandırılmalıdır. GraphQL introspection açık uç noktalar bilgi sızıntısı riski taşır; Repeater ile sorgu derinliği ve alias abuse senaryoları yalnızca yazılı izin kapsamında denenmelidir.

Eğitim Kaynakları ve Alternatifler

PortSwigger Web Security Academy ücretsiz laboratuvar senaryoları sunar. OWASP ZAP açık kaynaklı alternatif olarak otomatik tarama yapabilir. Her iki araç da yalnızca sahip olduğunuz veya yazılı yetki aldığınız sistemlerde kullanılmalıdır; izinsiz tarama hem etik dışıdır hem de cezai yaptırım doğurabilir.

Burp Extender API ile özel scanner modülü yazılabilir. BApp Store resmi eklentileri barındırır. Session handling kuralları oturum sürekliliğini test eder. Macro kayıt tekrarlayan adımları otomatikleştirir.

API Güvenlik Testleri

REST API uç noktalarında JWT imza doğrulaması Repeater ile test edilir. OAuth redirect_uri manipülasyonu yalnızca sözleşmeli kapsamda denenmelidir. Rate limiting bypass senaryoları servis kesintisine yol açabilir; throttling eşiğini raporda belirtin. JSON Web Token none algoritması eski kütüphanelerde hâlâ risk oluşturur.

Engagement Tools ve Extensions

BApp Store eklentileri tarama yeteneğini genişletir. Active Scan yalnızca kapsam dahilindeki URL'lere uygulanmalıdır. Passive scan trafiği arka planda analiz eder. Logger++ HTTP geçmişini CSV olarak dışa aktarır.

TLS ve Certificate Pinning

Mobile uygulamalarda pinning bypass yalnızca yazılı izinli pentest kapsamında denenmelidir. TLS 1.3 trafiğinde güncel Java runtime performansı artırır. Certificate transparency logları yanlış sertifika tespitinde yardımcı olur.

CI/CD ve Eğitim Kaynakları

Burp Enterprise CI pipeline entegrasyonu sunar. OWASP ASVS kontrol listesi bulguları sınıflandırır. PortSwigger Academy ücretsiz laboratuvar senaryoları içerir. Korsan yazılım lisans ihlali ve malware riski taşır.

WebSocket ve GraphQL Testleri

WebSocket trafiği Proxy history'de ayrı görünür. GraphQL introspection şema keşfi sağlar. JWT Editor token analizi yapar; imza doğrulaması atlanmamalıdır. API rate limiting testleri kontrollü yük simülasyonu gerektirir.