Web Proxy’lerine Giriş

Web Proxy’lerine Giriş

Günümüzde modern web ve mobil uygulamaların çoğu, sürekli olarak arka uç (back-end) sunuculara bağlanarak veri gönderip alır ve bu verileri kullanıcının cihazında (örneğin web tarayıcısında veya telefonda) işler. Uygulamaların büyük kısmı veriyi işlemek için back-end sunuculara bağımlı olduğu için, bu sunucuları test etmek ve güvenliğini sağlamak giderek daha önemli hale geliyor.

Back-end sunuculara giden web isteklerini test etmek, Web Uygulaması Sızma Testi (Web Application Penetration Testing) işinin büyük bölümünü oluşturur. Bu kavramlar hem web hem de mobil uygulamalar için geçerlidir. Uygulamalar ile back-end sunucular arasında gidip gelen istekleri ve trafiği yakalamak, görmek ve test amacıyla manipüle edebilmek için Web Proxy’lerini kullanmamız gerekir.

Web Proxy Nedir?

Web proxy’leri, tarayıcı/mobil uygulama ile back-end sunucu arasına konumlandırılabilen, iki taraf arasında gönderilen tüm web isteklerini yakalayıp görüntülemeye yarayan özel araçlardır. Yani temel olarak “ortadaki adam” (Man-in-the-Middle — MITM) mantığıyla çalışırlar.

Wireshark gibi diğer ağ dinleme araçları, yerel ağdaki tüm trafiği analiz ederek ağdan neler geçtiğini görmeye çalışır. Web proxy’leri ise çoğunlukla web portlarıyla çalışır; bunların en yaygınları HTTP/80 ve HTTPS/443’tür (bunlarla sınırlı değildir).

Web proxy’leri, herhangi bir web pentester için en kritik araçlardan biri olarak kabul edilir. Eski komut satırı (CLI) tabanlı araçlara kıyasla web isteklerini yakalama ve tekrar oynatma (replay) işini inanılmaz kolaylaştırırlar.

Bir web proxy kurulduğunda:

- Uygulamanın yaptığı tüm HTTP isteklerini görebiliriz

- Back-end sunucunun döndürdüğü tüm cevapları görebiliriz

- Belirli bir isteği durdurup (intercept) içeriğini değiştirebiliriz

- Ve back-end’in bu değişikliklere nasıl tepki verdiğini test edebiliriz

Bu, web sızma testinin en temel parçalarından biridir.

Web Proxy’lerin Kullanım Alanları

Web proxy’lerin ana amacı HTTP isteklerini yakalamak ve tekrar göndermek olsa da, çok daha fazla özelliği vardır. Web proxy’leri şu işlerde de kullanabiliriz:

- Web uygulaması zafiyet taraması (vulnerability scanning)

- Web fuzzing

- Web crawling (siteyi otomatik gezme)

- Web uygulaması haritalama (mapping)

- Web istek analizi

- Web yapılandırma testleri

- Kod incelemesi (code review)

Bu modülde spesifik web saldırılarını anlatmayacağız çünkü HTB Academy’nin diğer web modülleri bunları detaylıca kapsıyor. Ancak web proxy’leri nasıl kullanacağımızı, özelliklerini ve hangi web saldırılarının hangi proxy özelliğine ihtiyaç duyduğunu kapsamlı şekilde işleyeceğiz.

Bu modülde en yaygın iki web proxy aracını ele alacağız:

- Burp Suite

- ZAP

Burp Suite

Burp Suite (kısaca Burp) — okunuşu “Burp Sweet” — web sızma testlerinde en yaygın kullanılan web proxy aracıdır. Kullanıcı arayüzü çok başarılıdır ve hatta web uygulamalarını test etmek için içinde gömülü bir Chromium tarayıcısı bile sunar.

Burp’un bazı özellikleri sadece ücretli sürüm olan Burp Pro/Enterprise içinde vardır. Ancak ücretsiz sürüm (Community Edition) bile test araç setimizde tutmak için son derece güçlü bir araçtır.

Sadece ücretli sürümde bulunan bazı özellikler:

- Aktif web uygulaması tarayıcısı (Active Web App Scanner)

- Daha hızlı Burp Intruder

- Bazı Burp eklentilerini yükleyebilme (Extensions)

Burp Suite’in ücretsiz Community sürümü, çoğu pentester için yeterlidir. Daha ileri seviye web sızma testlerine geçince Pro özellikleri işimize yarayabilir.

Bu modülde ele alacağımız özelliklerin çoğu ücretsiz sürümde mevcuttur. Ama ayrıca bazı Pro özelliklerine de değineceğiz (örneğin Active Web App Scanner).

İpucu: Eğer eğitim (edu) veya kurumsal bir e-posta adresin varsa, Burp Pro’nun ücretsiz deneme sürümüne başvurabilirsin. Böylece modülde daha sonra gösterilecek bazı Pro özelliklerini de takip edebilirsin.

OWASP Zed Attack Proxy (ZAP)

OWASP Zed Attack Proxy (ZAP), web sızma testlerinde kullanılan bir diğer popüler web proxy aracıdır. ZAP, OWASP tarafından başlatılmış ve topluluk tarafından sürdürülen ücretsiz ve açık kaynak bir projedir. Bu yüzden Burp gibi “sadece ücretli” özellikleri yoktur.

Son birkaç yılda ciddi şekilde gelişti ve şu an açık kaynak web proxy araçları arasında en güçlü ve en çok tanınan seçeneklerden biri haline geliyor.

Burp gibi ZAP da web pentest için kullanılabilecek temel ve ileri seviye birçok özellik sunar. Ayrıca ZAP’in Burp’a göre bazı avantajları da vardır; bunları modül boyunca anlatacağız.

ZAP’in Burp’a karşı en büyük avantajı:

- Ücretsiz olması

- Açık kaynak olması

- Ücretli abonelik olmadan taramalarda kısıtlamaya (throttling/limit) takılmaması

Ayrıca büyüyen bir geliştirici topluluğu sayesinde, Burp’ta ücretli olan bazı özelliklerin ZAP’ta ücretsiz olarak benzer şekilde sunulmaya başladığını da görüyoruz.

Sonuç

İki aracı da öğrenmek oldukça benzer bir süreçtir ve bir web sızma testi sırasında her duruma uygun seçenekler sunar.

Bazı durumlarda Burp’a para vermek gereksiz gelebilir ve tamamen ücretsiz bir deneyim için ZAP’a geçebiliriz.

Bazı durumlarda ise daha olgun bir çözüm gerektiğinde (ileri seviye veya kurumsal pentestlerde), Burp Pro’nun sunduğu özellikler gerçekten değerli olabilir ve Burp’a yönelmek mantıklı hale gelir.