Anti-Bot ve Güvenlik 11 dk okuma

Pentest Proxy Rotasyonu: Yetkili Güvenlik Araştırmacıları İçin Kapsamlı Rehber

Yetkili pentest ve bug bounty çalışmalarında proxy rotasyonu nasıl kullanılır? Subdomain keşfi, asset discovery ve tarayıcı trafiğini gizleme teknikleri — tamamen yasal çerçevede.

ProxyHat Team
Pentest Proxy Rotasyonu: Yetkili Güvenlik Araştırmacıları İçin Kapsamlı Rehber

Neden Pentest Proxy Rotasyonu Gerekir?

Yetkili bir penetrasyon testi veya bug bounty programında çalışırken en sık karşılaştığınız sorunlardan biri, hedefin WAF'ı (Web Application Firewall) veya rate-limit mekanizmaları tarafından engellenmektir. Pentest proxy rotasyonu, tarama trafiğinizi tek bir IP'ye bağlamadan dağıtarak bu engelleri aşmanızı sağlar — ancak bunu yalnızca yazılı yetki dahilinde yapabilirsiniz.

Tek bir IP üzerinden binlerce istek gönderdiğinizde, hedef sistem bunu bir saldırı olarak sınıflandırır. Sonuç? IP bloklama, CAPTCHA zorlamaları ve scope dışına düşen bir test süreci. Residential proxy rotasyonu ile her istek farklı bir ISP'den, farklı bir konumdan geliyormuş gibi görünür — tıpkı gerçek kullanıcı trafiği gibi.

Önemli Uyarı: Bu rehberdeki tüm teknikler yalnızca yazılı yetki verilmiş sistemlerde kullanılabilir. Kapsam dışı testing, Türk Ceza Kanunu Madre 243-244 ve ilgili uluslararası yasalar kapsamında suç teşkil eder. Bug bounty programlarının safe harbor şartlarını mutlaka kontrol edin.

Kapsam ve Yasal Çerçeve

Yetkili Kapsam Nedir?

Bir pentest veya bug bounty çalışmasına başlamadan önce üç tembel unsuru doğrulamanız gerekir:

  • Yazılı yetki belgesi: Hedef organizasyondan imzalı bir sözleşme veya bug bounty programının açık kapsamı
  • Scope tanımı: Hangi domain'ler, IP aralıkları ve uygulama katmanlarının test edilebileceği
  • Rate-limit kuralları: Birçok program saniyedeki maksimum istek sayısını açıkça belirtir

Safe Harbor Kavramı

Bug bounty platformları (HackerOne, Bugcrowd, Intigriti) genellikle bir safe harbor maddesi içerir. Bu madde, kurallara uygun davrandığınız sürece hedef organizasyonun sizi yasal takibe başvurmayacağını garanti eder. Ancak safe harbor kapsamı her zaman program kurallarına bağlıdır — proxy kullanımı bile scope dışına çıkarsa koruma kalkar.

Yasal Sınır Çizgisi

Proxy rotasyonu, teknik olarak trafiğinizi gizlemenizi sağlar ama yetkinizi genişletmez. Kapsam dışı bir sistemi residential proxy ile taramak, izinsiz erişim girişimidir. Her zaman:

  • Scope belgesini yanınızda bulundurun
  • Rate-limit kurallarına uyun
  • Veri sızıntısı bulduğunuzda hemen raporlayın, sömürmeyin
  • Test öncesi hedefin incident response ekibine bilgi verin (gerekiyorsa)

Subdomain Keşfi: Residential Proxy'lerle Dağıtık Enumerasyon

Subdomain enumerasyonu, her pentestin ilk aşamasıdır. Amass, Subfinder ve benzeri araçlar pasif ve aktif kaynakları sorgular. Sorun şu: birden fazla API'ye ve DNS sunucusuna yapılan yoğun sorgular, WAF ve DNS sağlayıcıların rate-limit mekanizmalarını tetikler.

Amass ile Proxy Kullanımı

Amass, SOCKS5 ve HTTP proxy'leri yerel olarak destekler. Residential proxy rotasyonu ile her DNS sorgusu farklı bir IP'den gelir:

# Amass enum — residential proxy uzerinden subdomain kesifi
amass enum \
  -config ~/.config/amass/amass.ini \
  -o target_subdomains.txt \
  -d example.com \
  -proxy http://user-country-US:PASSWORD@gate.proxyhat.com:8080

# Sticky session ile uzun surenli taramalar icin
amass enum \
  -config ~/.config/amass/amass.ini \
  -o target_subdomains.txt \
  -d example.com \
  -proxy http://user-session-pentest01:PASSWORD@gate.proxyhat.com:8080

Per-request rotasyon için user-country-US formatını, uzun süreli bağlantılar için user-session-abc123 formatını kullanın. Session modunda aynı IP korunur — DNS resolver'ların TCP bağlantısını koparmaz.

Subfinder ve Proxy Zinciri

Subfinder doğrudan proxy parametresi sunmaz, ancak HTTP_PROXY ve HTTPS_PROXY ortam değişkenleri ile çalışır:

# Ortam degiskeni ile subfinder proxy konfigurasyonu
export HTTP_PROXY=http://user-country-DE:PASSWORD@gate.proxyhat.com:8080
export HTTPS_PROXY=http://user-country-DE:PASSWORD@gate.proxyhat.com:8080

subfinder -d example.com -o subfinder_results.txt -all

# Islem bitince degiskenleri temizle
unset HTTP_PROXY HTTPS_PROXY

Farklı coğrafi lokasyonlardan sorgulamak, CDN'lerin bölgesel DNS kayıtlarını ortaya çıkarabilir. Örneğin, Almanya lokasyonlu bir proxy ile sorguladığınızda yalnızca Avrupa POP'larına ait subdomain'leri bulabilirsiniz.

Asset Discovery ve Content Discovery

DNS Brute-Force ile Proxy Rotasyonu

Aktif DNS brute-forcing, yoğun istek üretir. Tek IP üzerinden yapılan bir brute-force saldırısı, DNS sağlayıcısının rate-limit kurallarını saniyeler içinde tetikler. Residential proxy rotasyonu ile bu trafiği dağıtabilirsiniz.

Ffuf ile Proxy Entegrasyonu

Ffuf, hızlı content discovery aracıdır ve proxy parametresini doğrudan destekler. Bug bounty çalışmalarında gizli endpoint'leri, API route'larını ve backup dosyalarını bulmak için kullanılır:

# ffuf — residential proxy ile dizin tarama
ffuf -u https://target.example.com/FUZZ \
  -w /opt/wordlists/common.txt \
  -x http://user-country-US:PASSWORD@gate.proxyhat.com:8080 \
  -mc 200,301,302,403 \
  -t 50 \
  -rate 100

# DNS brute-force — ffuf + proxy
ffuf -u https://FUZZ.example.com \
  -w /opt/wordlists/subdomains.txt \
  -x http://user-country-GB:PASSWORD@gate.proxyhat.com:8080 \
  -mc 200,301 \
  -t 30 \
  -rate 50

-rate 100 parametresi saniyede maksimum 100 istek gönderir. Bu, birçok bug bounty programının kabul edilebilir sınırıdır. -t (thread) ve -rate parametrelerini scope kurallarına göre ayarlayın.

Gobuster Proxy Kullanımı

Gobuster da proxy desteği sunar, ancak ffuf'a kıyasla daha az esnektir. Kullanımı:

gobuster dir -u https://target.example.com \
  -w /opt/wordlists/common.txt \
  -p http://user-country-US:PASSWORD@gate.proxyhat.com:8080 \
  -t 20

Proxy Türleri Karşılaştırması

Pentest ve bug bounty çalışmalarında hangi proxy türünü seçeceğiniz, kullanım senaryosuna bağlıdır:

ÖzellikResidential ProxyDatacenter ProxyMobile Proxy
IP ItibarıYüksek (gerçek ISP)Düşük (bilinen bloklar)Çok yüksek (mobil operatör)
WAF Atlama Oranı%85-95%30-50%90-98
HızOrtaYüksekDüşük-Orta
MaliyetOrta-YüksekDüşükYüksek
En İyi KullanımContent discovery, subdomain enumHızlı tarama, port scanMobile API testing
RotasyonPer-request veya stickyPer-requestPer-request veya sticky

Residential proxy'ler, WAF ve anti-bot sistemlerini en iyi atlatan seçenektir çünkü IP'ler gerçek ISP'lerden gelir. Datacenter proxy'ler hızlı taramalar için uygundur ancak WAF tarafından kolayca tanınır. Mobile proxy'ler mobil API testleri için idealdir — mobil operatör IP'leri yüksek itibara sahiptir.

Tarayıcı Trafiğini Gizleme: Burp Suite + Upstream Proxy

Bug bounty residential proxies ile Burp Suite entegrasyonu, manuel test trafiğinizi hedefin WAF'ından gizlemenin en etkili yoludur. Burp Suite'i upstream proxy olarak yapılandırmak basittir:

Burp Suite Upstream Proxy Konfigürasyonu

  1. Burp Suite → Project Options → Connections → Upstream Proxy Servers
  2. Destination host: * (tüm trafiği yönlendir)
  3. Proxy host: gate.proxyhat.com
  4. Proxy port: 8080
  5. Authentication: Kullanıcı adı ve şifrenizi girin

Sticky session kullanmak isterseniz, kullanıcı adı alanına user-session-burp01 formatını girin. Aynı IP'den gelen istekler, oturum tabanlı WAF kurallarını tetiklemez.

Per-Request Rotasyon ile Burp

Per-request rotasyon istiyorsanız, kullanıcı adına ülke parametresi ekleyin: user-country-US. Her yeni istek farklı bir residential IP'den gelir. Bu, özellikle rate-limit testlerinde ve kimlik doğrulama bypass denemelerinde kullanışlıdır.

curl ile Hızlı Doğrulama

Burp konfigürasyonunuzu test etmek için:

# curl ile residential proxy uzerinden istek
curl -x http://user-country-US:PASSWORD@gate.proxyhat.com:8080 \
  -H "User-Agent: Mozilla/5.0" \
  -H "Accept: application/json" \
  https://target.example.com/api/v1/users

# SOCKS5 ile daha guvenli baglanti
curl -x socks5://user-country-US:PASSWORD@gate.proxyhat.com:1080 \
  https://target.example.com/api/v1/health

Rate-Limit Etiketi ve Kapsam Kuralları

Rate-Limit Neden Önemlidir?

Bug bounty programlarının birçoğu, scope belgesinde saniyedeki maksimum istek sayısını (RPS) açıkça belirtir. Örneğin:

  • Düşük sınır: 5-10 RPS (hassas finansal sistemler)
  • Orta sınır: 50-100 RPS (standart web uygulamaları)
  • Yüksek sınır: 200+ RPS (büyük e-ticaret platformları)

Proxy rotasyonu, bu sınırları aşmak için değil, sınırlar dahilinde trafiği dağıtmak için kullanılır. Rate-limit aşımı, scope ihlali anlamına gelir ve safe harbor korumasını kaldırabilir.

En İyi Uygulamalar

  • Tarama araçlarında -rate veya -t parametrelerini scope kurallarına göre ayarlayın
  • Hafta içi mesai saatleri dışında tarama yapın (hedef ile anlaşıldıysa)
  • İlk taramada düşük hız başlatın, yanıt sürelerini gözlemleyin
  • 429 (Too Many Requests) yanıtı aldığınızda hızı düşürün, daha fazla proxy ile değil
  • Her tarama oturumunu loglayın — kapsama ilişkin anlaşmazlık durumunda kanıt olarak kullanın

Dağıtık Tarama Stratejisi

Tek bir makineden yüksek hızda taramak yerine, trafiği coğrafi olarak dağıtın:

  • Aşama 1 — Keşif: 10-20 RPS, ABD ve Avrupa residential IP'leri
  • Aşama 2 — Derinlemesine tarama: 30-50 RPS, sticky session ile tutarlı IP'ler
  • Aşama 3 — Doğrulama: 5-10 RPS, manuel Burp Suite testi

Bu yaklaşım, hem WAF'ı tetiklemez hem de scope sınırlarına uyar. Daha fazla bilgi için web scraping kullanım senaryoları sayfamıza göz atabilirsiniz.

OSINT ve Vulnerability Research İçin Proxy Kullanımı

Residential proxy'ler, OSINT (Açık Kaynak İstihbarat) toplama çalışmalarında hedefe ait IP izini minimize eder. Bu, özellikle şunlar için kritiktir:

  • Hedef attributıon'ını önleme: Araştırmacı IP'sinin hedef log'larında görünmesini engelleme
  • Bölgesel içerik erişimi: Farklı ülkelerden görünen içerikleri analiz etme
  • Dağıtık vulnerability scanning: Rate-limit toleranslı tarama

OSINT çalışmalarında her zaman passif enumerasyon ile başlayın. Shodan, Censys, VirusTotal gibi kaynaklar proxy gerektirmez — ancak aktif doğrulama ve content discovery aşamalarında residential proxy rotasyonu gereklidir.

Hata Yapmamanız Gereken Noktalar

  • Scope dışı tarama: Proxy ile erişebildiğiniz her şeyi tarayamazsınız. Yalnızca scope belgesinde listelenen varlıkları test edin
  • Aşırı hızlı tarama: Rate-limit aşımları, hedefin incident response sürecini başlatır ve safe harbor'ı geçersiz kılar
  • Data exfiltration: Bulduğunuz hassas verileri kopyalamayın — yalnızca kanıt için minimum gerekli miktarı kaydedin
  • Proxy paylaşımı: Aynı proxy kimlik bilgilerini birden fazla araştırmacı ile paylaşmayın — bu, IP bloklama riskini artırır
  • SOCKS5 vs HTTP karışıklığı: DNS sızıntısını önlemek için SOCKS5 kullanın; ancak hız önemliyse HTTP proxy yeterlidir

Key Takeaways

  • Pentest proxy rotasyonu, yalnızca yazılı yetki verilmiş sistemlerde kullanılabilir — kapsam dışı testing yasa dışıdır
  • Residential proxy'ler, WAF ve rate-limit mekanizmalarını en iyi atlatan seçenektir
  • Amass ve Subfinder, proxy parametreleri ile subdomain enumerasyonu yapabilir
  • Ffuf ve gobuster, content discovery'de residential proxy ile dağıtık tarama sağlar
  • Burp Suite upstream proxy konfigürasyonu, manuel test trafiğini gizler
  • Rate-limit kurallarını aşmak değil, sınırlar dahilinde trafiği dağıtmak esastır
  • Her tarama oturumunu loglayın ve scope belgesini her zaman yanınızda bulundurun

Web asset discovery proxies konusunda daha fazla bilgi almak veya ProxyHat'in residential, mobile ve datacenter proxy çözümlerini incelemek için fiyatlandırma sayfamıza veya lokasyon sayfamıza göz atın. SERP takibi ve OSINT çalışmaları için SERP tracking kullanım senaryomuzu da inceleyebilirsiniz.

Başlamaya hazır mısınız?

148+ ülkede 50M+ konut IP'sine AI destekli filtreleme ile erişin.

Fiyatlandırmayı GörüntüleKonut Proxy'leri
← Bloga Dön