Kategoriler
AstrolojiPopüler KonularYaşam RehberiKariyer TavsiyeleriKişisel GelişimZenginler ve FakirlerSite TanıtımlarıKaranlık İnternet GerçekleriNe? Nedir? Nasıl?Kadim Gizli BilgilerMeditasyon ve OlumlamalarSpiritüalizmSpiritüel Rüya TabirleriYurt Dışında EğitimDualarBilgisayar ve GüvenlikYZ ile Para Kazanma Rehberi
Bilgisayar ve Güvenlik

Burp Suite ile Web Siteni Test Ederken Başka Web Sitesini Kazaen Hacklememek İçin Ne Yapmalısın?

IYIGOOGLE IYIGOOGLE
Yayınlama Tarihi: 15 January 2025 | Güncelleme Tarihi: 29 April 2025

Burp Suite… web güvenlik testlerinin İsviçre çakısı. Proxy, Repeater, Intruder, Scanner… hepsi tek bir arayüzde. Bir siteyi test ederken her paket elinin altındadır. Ama bu gücün içinde, bir yanlış tıklamayla zincirlerinden kopabilecek tehlikeli bir taraf da vardır. Yanlış hedefe gönderilen bir payload, senin testin değil, başkasının kabusu olabilir. Özellikle shared hosting, CDN, load balancer veya wildcard domain ortamlarında… Şimdi, Burp ile kendi siteni test ederken istemeden komşunun web sitesine dokunmamak için ne yapman gerektiğini, çok ince detaylarıyla ele alıyoruz.

Öncelikle: Neden Yanlış Siteyi Test Etmek Bu Kadar Kolaydır?

Burp Suite, HTTP trafiğini doğrudan tarayıcı üzerinden geçirerek çalışır. Bu şu demektir:

  • Tarayıcı hangi domain’e istek gönderirse Burp onu alır.
  • Aynı sunucuda barınan başka sitelere ait request’ler de arada kaynayabilir.
  • CDN ya da wildcard SSL kullanılan sistemlerde IP adresi farklı bir domaine ait olabilir.

Bir payload, doğru IP'ye ama yanlış domain başlığıyla gönderilirse, Burp teknik olarak başka bir web sitesini test etmeye başlamış olabilir.

Burp Suite Kullanırken Komşu Siteleri “Kazaen” Vurmamak İçin Ne Yapmalısın?

1. Target Scope Ayarlarını Doğru Yap

Burp’te test yapılacak domain’in açık şekilde tanımlanması şarttır:

  1. “Target” sekmesine git
  2. “Scope” alt sekmesine tıkla
  3. “Include in scope” alanına sadece test edeceğin domain’i ekle (örnek: https://testsite.com)
  4. “Use advanced scope control” seçeneğini kullanarak IP aralığı, port ve protokol bazlı filtreleme yap

Bu tanımı yaptıktan sonra, Repeater ve Intruder gibi araçların “out of scope” hedeflere istek göndermesini engellemek için:

  • “Project Options” → “Misc” kısmına git
  • “Prevent out-of-scope requests” seçeneğini aktif et

2. Tarayıcı Trafiğini Filtrele

Proxy sekmesinde gelen tüm istekler loglanır. Ancak tarayıcı, arka planda ziyaret ettiğin diğer sitelere de istek gönderebilir. Bunların yanlışlıkla Repeater’a aktarılmaması için:

  • Proxy → “Intercept” kısmında sadece belli hostlara ait trafik için kural ekle
  • Örneğin: Host CONTAINS testsite.com
  • Diğer her şeyi “Drop” komutuyla blokla

3. DNS Rebinding’e Karşı Dikkatli Ol

Bir IP adresi birden fazla domain’e cevap verebilir. IP bazlı test yaparken Host başlığını elle değiştirdiğinde yanlış domaine gidebilirsin. Burada dikkat:

  • IP adresi üzerinden yapılan testlerde daima Host başlığını sabit tut
  • Farklı domain’leri test etmiyorsan wildcard yönlendirme yapma

Özellikle bazı firmalar, tek IP üzerinden yüzlerce domaine hizmet verir. Yanlış domain header’ı = yanlış hedefe saldırı.

4. Repeater ve Intruder’da Domain Doğrulaması Yap

Her manuel test aracında (Repeater, Intruder, Turbo Intruder) hedef URL’yi gönderirken:

  • Request içindeki Host: başlığını kontrol et
  • Yanlışlıkla farklı bir subdomain ya da tamamen başka bir domain yazılmadığına emin ol

Çünkü sadece bir harf hatası, aynı IP üzerinde başka bir siteye test yapmana neden olabilir. Ve bu, teknik olarak saldırıdır.

5. Logları Aktif Tut ve İzle

“Logger++” gibi eklentileri yükle ve her HTTP paketini denetle. Şunlara dikkat et:

  • Beklenmeyen host isimleri
  • Redirect edilen domain’ler
  • HTTP 301-302 durum kodlarında farklı hedefler

Bu loglar sayesinde “ben sadece kendi sitemi test ediyordum” deme lüksün olmaz. Gerçekten kimi vurduğunu görmek için kayıt tutmak şart.

Gerçek Hayattan Vaka: Kendi Sitesini Test Ederken Devlet Sitesine İstek Gönderen Güvenlikçi

2019’da bir araştırmacı, kendi subdomain’ini test ederken yanlış wildcard yönlendirme nedeniyle gov.tr uzantılı bir siteye payload gönderdi. Repeater’da sadece parametre test ederken, Host header’ı değişmeden kalmıştı. Request, devlet sistemine gitti. Olay fark edilince savcılık devreye girdi. Test amacı olduğunu kanıtlamak için aylarca uğraştı. Sonuç: Niyet önemli değil, etki belirleyicidir.

Bu Hatayı Yaparsan Ne Olur?

  • İzinsiz erişim teşebbüsü suçlamasıyla karşılaşabilirsin
  • Kurumsal sistemlerde IP adresin blacklist’e alınır
  • CDN ya da WAF sistemleri seni saldırgan olarak işaretler
  • Yasal süreçte “test yapıyordum” demek yeterli görülmez

Bu yüzden Burp ile çalışırken her paketin seni temsil ettiğini bil. Yanlış hedefe giden doğru kod bile, seni yanlış tarafa götürebilir.

Ve Bilinmesi Gereken Derin Gerçek

Güvenlik testi, kılıçla dans etmektir. Her hamle dikkat ister. Burp Suite güçlüdür ama körlemesine saldırmaz. Onu doğru yönlendirmezsen, elindeki araç, sadece kod değil, sorun üretir. Komşunun camını taşlamamak için önce pencerenin kime ait olduğunu iyi bilmelisin. Çünkü niyetin temiz olsa da, sonuç iz bırakır. Ve dijital dünyada o iz, sadece loglara değil, yasal kayıtlara da geçer.