Neden Burp Suite?
Çok soru gelmesinden ötürü bu yazıyı yayınlamak istiyorum. Daha çok kişiye ulaşması için beğenip paylaşırsanız sevinirim. Bildiğiniz üzere web security üzerine güvenlik araştırmaları gerçekleştiriyorum. Bu konuda en çok sorulan sorulardan biri ise hangi aracı kullanıyorsun diye soruluyor. Deneyimlerimden yola vardığım sonuçları sizlere aktarmak istiyorum. Sektörde hali hazırda Acunetix, AppScan ve Netsparker gibi otomatize web güvenlik tarayıcıları mevcut. Ürünlerin iki farklı versiyonlarını ile yapmış olduğum testlere dayanarak. Bildiğiniz üzere bu tür otomatize yazılımlar tarama esnasında bazı şeyleri kaçırabiliyorlar. Her zaman doğru sonucu vermez ve bu çıktılar uzman kişiler tarafından incelenip analiz edilmedir. Ayrıca manuel olarak test imkanı sınırlı olduğu için bazı önemli noktaları atlamaktadırlar. Bu yüzdende manuel güvenlik testleri önemlidir. Bunun dışında bu yazılımların anlamsız yüksek fiyatları bulunmaktadır.
Burp Suite’in otomatize tarama özelliği bulunmakta ama o bile yanlış sonuçlar verebilmektedir. Diğer otomatize yazılımlardan farklı olarak bir çok manuel test imkanı sunan Burp Suite aracı web uygulama testlerinizde daha doğru sonuç almayı, kullan kişiye manuel test edebilme kazanımı sağlama ve sadece url adresini gir scan tuşuna bas çıktıyı al mantığından uzaklaşmak adına en doğru seçim olacaktır. Burp Suite’in yıllık lisans ücreti 400$ iken diğer otomatize yazılımların yıllık lisans ücreti 13 katı civarındadır. Hal böyle iken ciddi olarak bir bütçe harcaması bulunuyor. Burp Suite’i seçerek bir çalışan olarak kendinize bütçe çıkarıp, mesleki ve kişisel gelişim açısısından kullanabilceğinizi düşünüyorum. Güncel yıllık lisans ücretine buradan ulaşabilirsiniz. [https://portswigger.net/pricing] Hatırlatmak gereken iki konu daha var. Burp Suite bir çok güvenlik araştırmacıların kullandığı yazılımdır. Bu tür güvenlik araştırmalarında manuel testeler önemlidir. Bu açıdan bir çok imkanı tanıyan Burp Suite yazılımı sıkça güvenlik araştırmacıları tarafından kullanılıyor. Neredeyse tamamında proof of concept videolarında, write-uplarda Burp Suite aracını kullanıldığını görmekteyiz. Bu yönden tercih edilmesi daha doğru bir şeçim olduğunu doğrulamak isterim. Diğer bir konus ise gündemden düşmeyen herkesin ağızında olan yerli yazılım konusuna geliyorum. Yerli yazılım dediğimiz şey, X bir ülkede merkezi kurulu ise o ülkeye para kazandırıyor demekdir. Yerli bir ürün dahi olsa bile bu o ülkede stratejik bile orada kurulsa yanlış olduğunu düşünüyorum. Sonuç olarak kurulan hangi ülke ise oraya para kazandıracaktır. Kişisel görüşüm olarak bu tür herhangi bir yazılımın yerli olarak adlandırılıp satış ve pazarlanmasın yanlış olduğunu düşünmekteyim.
Karar sizin tabiki de ben sadece varolan deneyimlerimi ve sorulan sorulara yanıt verebilmek için bir yazı yazmayı daha uygun gördüm. Bir sonraki yazımda görüşmek dileği ile sağlıcakla kalın..
