SIFIRDAN ZİRVEYE WEB HACKING: HAFTA 2 - Zamanı ve Trafiği Bükmek: Burp Suite Proxy & Repeater

Selamlar siber dünyanın gezginleri, hocalarım ve klavye başındaki dostlarım! Geçen hafta Gobuster ile kapıları zorladık, sitelerin gizli odalarına göz attık. Ama bugün işi bir tık daha ileri götürüp, o odaların içinde dolaşan veriyi nasıl manipüle edeceğimizi öğreneceğiz.

Düşünün ki bir web sitesine tıkladığınızda giden her istek aslında bir mektup. Normal kullanıcılar mektubu yazar, postaya verir ve cevabını bekler. Biz ise bugün o postacıyı yolda durdurmayı, mektubu açıp içindekileri değiştirmeyi ve hiçbir şey olmamış gibi yeniden mühürleyip göndermeyi öğreneceğiz. Matrix'teki o meşhur sahne gibi; kaşığı bükmeyeceğiz, aslında zamanı ve trafiği bükeceğiz.

Hazırsanız, web hacker’ların en sadık dostu, İsviçre çakımız Burp Suite dünyasına giriyoruz.

---

Burp Suite’i açtığınızda sizi karşılayan en önemli sekme Proxy sekmesidir. Burası bizim kontrol kulemiz.

• Intercept is ON: Bu düğmeye bastığınız an, tarayıcınız ile sunucu arasındaki iletişim donar. Bir siteye girmek istersiniz ama sayfa dönüp durur; çünkü paket Burp Suite’in içine düşmüştür ve sizin "Forward" (Gönder) demenizi bekliyordur. Bu esnada paketin içindeki kullanıcı adlarını, şifreleri veya gizli parametreleri canlı canlı görebilirsiniz.

• HTTP History: Sitenin arka planda yaptığı tüm mektuplaşmaların kaydı buradadır. "Hangi dosya nereye gitti, sunucu bana ne cevap verdi?" hepsini buradan analiz ederiz.

Repeater: Laboratuvar Masanız

Sürekli tarayıcıdan deneme yapmak hem yavaş hem de yorucudur. İşte burada devreye Repeater giriyor. Proxy'de yakaladığınız ilginç bir paketi CTRL + R yaparak Repeater’a atarsınız.

Artık o paket sizin oyuncağınızdır. Parametreleri değiştirin, "Send"e basın ve sunucunun tepkisini anında görün. "Kullanıcı adını çok uzun yaparsam ne olur?", "Şuraya bir tırnak işareti (') koysam hata verir mi?" gibi tüm sorularınızın cevabını burada saniyeler içinde alırsınız.

---

Aksiyon Zamanı: Mantık Hatası (Logic Manipulation)

Mevzuyu bir örnekle netleştirelim. Bir e-ticaret sitesindesiniz ve gözünüze bir ayakkabı kestirdiniz. Fiyatı 2000 TL. "Satın Al" dediğinizde giden paketi durdurduğunuzda şunu görürseniz ne yaparsınız?


Eğer sistem, fiyat kontrolünü sunucu tarafında yapmıyorsa; siz oradaki fiyat=2000 değerini fiyat=1 yaparak gönderirseniz, sunucu bunu kabul edebilir. İşte biz buna Parameter Tampering diyoruz. Kulağa imkansız gibi geliyor değil mi? Ama gerçek dünyada hala bu hatayı yapan yüzlerce sistem var!

---

Haftalık Görev: İlk Laboratuvar Deneyimi

Teori bitti, şimdi elleri kirletme vakti hocalarım! Bu haftaki görevimiz gerçek bir akademi platformunda ilk labımızı çözmek:

1. PortSwigger Academy'ye gidin ve ücretsiz hesabınızı oluşturun.
2. Burp Suite'in kendi tarayıcısını (Open Browser) kullanarak akademiye giriş yapın.
3. "Lab: SQL injection vulnerability in WHERE clause allowing retrieval of hidden data" isimli ilk labı bulun.
4. İsteği yakalayın, Repeater sekmesine gönderin ve sunucudan dönen verileri manipüle ederek labı tamamlayın.

Önemli Not: Hocalarım, bu labda SQL Injection (SQLi) saldırısı yapmanız gerekecek. Eğer "Ya bu SQLi tam olarak neydi?" diyorsanız, laba dalmadan önce şu rehberi mutlaka incelemenizi tavsiye ederim: SQL Injection Cheat Sheet & Tutorial


ÖNEMLİ NOT: Bu öğrendikleriniz birer süper güçtür. Sadece yasal sınırlar içerisinde ve kendi kurduğunuz lablarda kullanın. Etik hacker, sistemi yıkan değil, sistemi korumak için açıkları bulandır.

Labı bitirenler veya takılanlar yorumlarda belirtsin, ekran görüntülerini paylaşın, beraber inceleyelim. Bilgi paylaştıkça güzeldir!

Haftaya Brute Force (Kaba Kuvvet) saldırılarıyla şifrelerin kapısını nasıl zorlayacağımızı göreceğiz. Kendinize iyi bakın!