[Owasp-turkey] Owasp-turkey Digest, Vol 64, Issue 5

Onur Yilmaz contact at onuryilmaz.info
Mon May 7 19:09:41 UTC 2012


Java ile yazılmasından ötürü direk önyargılıyım zaten :)

Ama bu bilgiler için teşekkürler abi, Burp için nasıl bir aksiyon
alacağımızı öğrenmiş olduk.

Kolay gelsin.

7 Mayıs 2012 18:38 tarihinde Deniz CEVIK <denizcev at gmail.com> yazdı:

> Merhaba,
>
> Aslında sorun burpsuite'de değil :) (onur direkt giydirmişsin). Bende
> benzer durumla karşılatım, ancak burpsuite de custom ssl sertifikası
> tanımlayarak SSL trafiğinin arasına girilebildiğini gördüm. İlk
> aşamada bunu mobil uygulamayı geliştirenlerin MITM'i engellemek için
> yaptıkları bir istemci tabanlı koruma olarak düşünmüştüm, ama o kadar
> çok uygulamada karşılaştım ki artık iphone'un profile ayarları ile
> ilgili bir durum olabilir diye düşünüyorum.
>
> SSL trafiğini capture etmek için openssl gibi bir araç ile orjinal
> sertifika ile benzer cn, ou vb bilgilerine sahip bir sertifika
> oluşturup, burp'e araya girerken bu sertifikayı kullan deserniz
> problemsiz bir şekilde trafiğin arasına girebilirsiniz. Yani sahte
> sertifika detaylarına baktığınız zaman, orjinal sertifika bilgilerine
> benzer şeyler olması gerekiyor. Bunu ilk gördüğümde sanırım uygulama
> içinde CN name' göre bir kontrol koydular diye düşünmüştüm. :)
>
> Burp'un proxy ayarlarında hostname olarak şunu kullan gibi
> seçeneklerde var ama onlar ile yine araya girilemiyor. Ama yukarıdaki
> yolla burp ile sorunsuz MITM işlemi yapabilirsiniz. Fiddlerin add'on
> da sanırım benzer bişiler yapıyor.
>
> HTTP dışı protokoller için pek çok araç var, dll injection ile
> application bazlı MITM yapabilen araçlar var, Canepe gibi bir araçla
> ise transparent olarak araya girebilirsiniz. Tabi protokol binary ise
> decode etmeniz gerekecektir, data seviyesinde bir encryption var ise
> zaten MITM ile yapılabilecek pek bir şey yok, direkt istemci yazılım
> üzerinde decompile yoluyla bir şeyler yapmaya çalışmak daha hızlı
> sonuç almaya yardımcı olabilir.
>
> Saygılar
>
> 2012/5/7 Onur Yilmaz <contact at onuryilmaz.info>:
> > Selam,
> >
> > İlgili seçeneği aktif etmeden zaten SSL trafiğini capture etmedi iPhone
> > uygulamasının.
> >
> > Zannediyorum ki benim test ettiğim uygulamadan kaynaklı Burp'un handle
> > edemediği bir durum var. Bu hafta sonu başka uygulamalarda r da
> deneyeceğim
> > eğer fırsatım olursa.
> >
> > 7 Mayıs 2012 17:01 tarihinde Sertan Kolat <sertan at gmail.com> yazdı:
> >
> >> Onur selam,
> >>
> >> Eline saglik. Yasadigin problem ilgimi cekti.
> >>
> >> Burp proxy seceneklerinde "support invisible proxying" secenegini aktif
> >> hale getirerek denedin mi?
> >>
> >> Iyi haftalar,
> >> Sertan
> >>
> >>
> >> 2012/5/7 Onur Yilmaz <contact at onuryilmaz.info>
> >>>
> >>> Selamlar,
> >>>
> >>> Aslında Burp benim de güzel bir akşamımı hiç etti sağolsun :) oldum
> olası
> >>> Java ile geliştirilmiş uygulamalardan neden uzak durduğumu bir daha
> anladım
> >>> :)
> >>>
> >>> Burp'u da temel olarak aynı mantık ile konfigüre edebiliyoruz ama
> nedense
> >>> benim analiz etmek istediğim iPhone uygulaması ile stabil çalışmadı
> Burp.
> >>> Uygulamayı açıyorum sorun yok ama login olmak istediğimde login
> isteğini
> >>> capture eder etmez uygulamayı sonlandırıyor ve çıkıyordu.
> >>>
> >>> Daha sonra Fiddler ile denedim, HTTP isteklerini capture etmede sorun
> >>> yoktu ama SSL trafiği sorun çıkarttı. Onun da sertifikadan
> kaynaklandığını
> >>> ve doğru sertifikanın nasıl üretileceğini (Fiddler'a patch geçmek
> gerekiyor)
> >>> makalede anlatmaya çalıştım. Bu aşamadan sonra Fiddler hiç sorun
> vermeyince
> >>> de nasıl yaptığımı paylaşayım istedim.
> >>>
> >>> Burada aslında 'proxy kullanamayan uygulamalar' tam olarak durumu ifade
> >>> etmiyor. Çünkü biz iPhone'un bağlı olduğu ve internete çıkış yaptığı
> modem
> >>> arasına bir proxy koyuyoruz ve trafik buradan akıyor. Uygulamayı değil
> >>> iPhone'u proxy'ye göre konfigüre ediyoruz.
> >>>
> >>> Ama garip bir şekilde Burp bu durumu tam olarak handle edemedi ve benim
> >>> sâdık yârim Fiddler'dır diyerek kürkçü dükkanına dönüş yaptım :)
> >>>
> >>> Eğer Fiddler ile sorun yaşarsanız, sorunu ve çözümünü paylaşırsanız
> >>> sevinirim.
> >>>
> >>> Kolay gelsin.
> >>>
> >>>> ---------- Yönlendirilmiş ileti ----------
> >>>> From: "Ömer Altundal" <omeraltundal at hotmail.com>
> >>>> To: <owasp-turkey at lists.owasp.org>
> >>>> Cc:
> >>>> Date: Mon, 7 May 2012 06:58:11 +0000
> >>>> Subject: Re: [Owasp-turkey] Fiddler ile iPhone Trafiğini Kaydetmek
> >>>> Onur selamlar,
> >>>>
> >>>> Paylaşım için teşekkürler. Her iPhone uygulamasını test ederken kırk
> >>>> takla atarak trafiği bilgisayarıma yönlendirip orada Burp'le analiz
> etmeye
> >>>> çalışıyorum. Fiddler da yardımcı olacaktır. Yalnız bu da yine proxy
> >>>> kullanamayan uygulamaların trafiğini almamızı sağlayamayacak değil mi?
> >>>> Denemedim henüz ama senin vereceğin cevaba göre büyük dertten
> kurtarmış
> >>>> olacaksın belki de beni :) Eğer dediğim gibiyse iphone simulatörü vs
> >>>> kullanarak mı analiz etmek gerekir?
> >>>>
> >>>> Teşekkürler.
> >>>> Ömer Faruk Altundal.
> >>>> ________________________________
> >>>> Date: Mon, 7 May 2012 00:40:32 +0300
> >>>> From: onuryilmazinfo at gmail.com
> >>>> To: owasp-turkey at lists.owasp.org
> >>>> Subject: [Owasp-turkey] Fiddler ile iPhone Trafiğini Kaydetmek
> >>>>
> >>>> Selamlar,
> >>>>
> >>>> Web Güvenliği Topluluğu Belgeler kısmına Fiddler ile iPhone Trafiğini
> >>>> Kaydetmek isimli makale eklenmiştir.
> >>>>
> >>>> http://www.webguvenligi.org/belgeler
> >>>>
> >>>> İyi çalışmalar.
> >>>>
> >>>> _______________________________________________ Owasp-turkey mailing
> >>>> list Owasp-turkey at lists.owasp.org
> >>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >>>>
> >>>> _______________________________________________
> >>>> Owasp-turkey mailing list
> >>>> Owasp-turkey at lists.owasp.org
> >>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >>>>
> >>>
> >>>
> >>> _______________________________________________
> >>> Owasp-turkey mailing list
> >>> Owasp-turkey at lists.owasp.org
> >>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >>>
> >>
> >>
> >> _______________________________________________
> >> Owasp-turkey mailing list
> >> Owasp-turkey at lists.owasp.org
> >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >>
> >
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
-------------- sonraki b?l?m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120507/65715bb2/attachment.html>


More information about the Owasp-turkey mailing list