Selamün Aleyküm;
Sanal ile ile hayat yoğunluğundan dolayı ilgilenemiyordum müsait bir zamanım olmadı aylardır makale de yazamıyordum, müsait bir zaman bulmuşken makale yazayım dedim umarım işinize yarar.
Bugün Kali Linux da aktif olarak kullanılan ve işinize yaracağını düşündüğüm pentest araçlarını anlatacağım.
1- Nikto
2- Uniscan
3- Owasp Zap
4- Wapiti
5- Vega
6- Wpscan
1- NİKTO
İlk olarak nikto kullanımından başlayalım.
Nikto, web server üzerinde bulunan güvenlik açığı tarama uygulamasıdır.
Web sayfasında bulunabilecek XSS, SQL Injection benzeri güvenlik açıklarını tespit eder.
Başlamadan önce nikto -update yaparak başlayalım. Kendi veritabanını güncellesin.
Veritabanı sürekli güncellenmektedir ve birçok güvenlik açığı tespit edebilmektedir.
1-Terminale " nikto " yazarak programı çalıştıralım.
2- nikto -h www.hedefsite.com yazarak taramayı başlatalım.
Site taraması internet hızınıza ve siteye göre değişiklik gösterebilir.
Birçok güvenlik açığı olarak taradığı için zaman alabilir.
2- Uniscan
Uniscan hedef sitede SQL,XSS,RFI,LFI Gibi güvenlik açıklarını,dizinleri dosyaları tarayan bir araçtır.
1- sudo apt-get install uniscan yazarak programı kuralım.
2- uniscan -u Kişisel Blog Sayfası - Hedef Blog -qweds yaparak detaylı taramayı başlatalım.
3- Gördüğümüz gibi dizin yollarını, güvenlik açıklarını link olarak detaylı olarak vermeye başladı. Program bitene kadar durdurmazsanız hedef site hakkında detaylı bilgi toplayıp birçok güvenlik açığını tespit edebilirsiniz.
3- OWASP ZAP
Owasp Zap hızlı olarak siteyi tarayarak site trafiğinde ki linkleri görmenizi sağlar,
birçok güvenlik açığını tespit ederek bilgi toplayabilirsiniz.
1- Kali linux search kısmına Owasp Zap diyerek başlatabilirsiniz.
2- Automated Scan seçeneğine tıklayın Kişisel Blog Sayfası - Hedef Blog yazarak saldırı tıklayarak saldırı başlatalım.
3- " Örümcek " kısmından hedef siteye giden get/post isteklerinden trafiği izleyebilirsiniz ve hedef sitede link analizi ve kontrolleri gerçekleştirebilirsiniz.
Uyarılar kısmından hedef sitede oluşan güvenlik açıkları ve link çıktılarını inceleyebilirsiniz.
4- Wapiti
Wapiti,hedef sitede SQL,RFI,XSS,LFI benzeri açıkları tarayıp açıklarını tespit eden tooldur.
1- wapiti -u Kişisel Blog Sayfası - Hedef Blog yaparak taramayı başlatalım
Siteyi detaylı olarak tarayarak modül olarak sizlere alt alta açıkları verecektir.
5- VEGA
Vega açık kodlu bir programdır.
Java ile yazılmıştır.
Netsparker gibi pentest programlarıyla benzerlik gösterir ve kullanımı kolaydır.
SQL,XSS.LFI.RFI,UPLOAD,DİZİN AÇIKLARI gibi birçok açığı tarayarak size bildirir.
Vega kurulumu:
1- Vega açtıktan sonra üst taraftaki Scan kısmından new scan kısmından www.hedefsite.com olarak yazıp finish yaparak taramayı başlatalım.
2- Gördüğümüz gibi siteyi tarar ve internet hızınıza göre uzun sürebilir.
Bulduğu açıkları yüksek,orta,düşük diye alt alta sıralar.
Scan Alert kısmından + işaretine tıklayarak sitenin açıklarını inceyebilirsiniz.
6- WPScan
Wordpress alt yapısı kullanan siteleri tarayarak güvenlik açıklarını bildirir.
Program aracılığıyla dizin açıkları, tema açıkları, eklenti açıkları ve brute force gerçekleştirebilirsiniz.
1- wpscan yazarak programı çalıştıralım.
2- wpscan --url Kişisel Blog Sayfası - Hedef Blog --random-user-agent diyerek taramayı başlatalım.
user-agent ile güvenlik duvarı (waf) aşabilirsiniz.
NOT : KONU BANA AİT DEĞİLDİR !!!
Sanal ile ile hayat yoğunluğundan dolayı ilgilenemiyordum müsait bir zamanım olmadı aylardır makale de yazamıyordum, müsait bir zaman bulmuşken makale yazayım dedim umarım işinize yarar.
Bugün Kali Linux da aktif olarak kullanılan ve işinize yaracağını düşündüğüm pentest araçlarını anlatacağım.
1- Nikto
2- Uniscan
3- Owasp Zap
4- Wapiti
5- Vega
6- Wpscan
1- NİKTO
İlk olarak nikto kullanımından başlayalım.
Nikto, web server üzerinde bulunan güvenlik açığı tarama uygulamasıdır.
Web sayfasında bulunabilecek XSS, SQL Injection benzeri güvenlik açıklarını tespit eder.
Başlamadan önce nikto -update yaparak başlayalım. Kendi veritabanını güncellesin.
Veritabanı sürekli güncellenmektedir ve birçok güvenlik açığı tespit edebilmektedir.
1-Terminale " nikto " yazarak programı çalıştıralım.
2- nikto -h www.hedefsite.com yazarak taramayı başlatalım.
Site taraması internet hızınıza ve siteye göre değişiklik gösterebilir.
Birçok güvenlik açığı olarak taradığı için zaman alabilir.
2- Uniscan
Uniscan hedef sitede SQL,XSS,RFI,LFI Gibi güvenlik açıklarını,dizinleri dosyaları tarayan bir araçtır.
1- sudo apt-get install uniscan yazarak programı kuralım.
2- uniscan -u Kişisel Blog Sayfası - Hedef Blog -qweds yaparak detaylı taramayı başlatalım.
3- Gördüğümüz gibi dizin yollarını, güvenlik açıklarını link olarak detaylı olarak vermeye başladı. Program bitene kadar durdurmazsanız hedef site hakkında detaylı bilgi toplayıp birçok güvenlik açığını tespit edebilirsiniz.
3- OWASP ZAP
Owasp Zap hızlı olarak siteyi tarayarak site trafiğinde ki linkleri görmenizi sağlar,
birçok güvenlik açığını tespit ederek bilgi toplayabilirsiniz.
1- Kali linux search kısmına Owasp Zap diyerek başlatabilirsiniz.
2- Automated Scan seçeneğine tıklayın Kişisel Blog Sayfası - Hedef Blog yazarak saldırı tıklayarak saldırı başlatalım.
3- " Örümcek " kısmından hedef siteye giden get/post isteklerinden trafiği izleyebilirsiniz ve hedef sitede link analizi ve kontrolleri gerçekleştirebilirsiniz.
Uyarılar kısmından hedef sitede oluşan güvenlik açıkları ve link çıktılarını inceleyebilirsiniz.
4- Wapiti
Wapiti,hedef sitede SQL,RFI,XSS,LFI benzeri açıkları tarayıp açıklarını tespit eden tooldur.
1- wapiti -u Kişisel Blog Sayfası - Hedef Blog yaparak taramayı başlatalım
Siteyi detaylı olarak tarayarak modül olarak sizlere alt alta açıkları verecektir.
5- VEGA
Vega açık kodlu bir programdır.
Java ile yazılmıştır.
Netsparker gibi pentest programlarıyla benzerlik gösterir ve kullanımı kolaydır.
SQL,XSS.LFI.RFI,UPLOAD,DİZİN AÇIKLARI gibi birçok açığı tarayarak size bildirir.
Vega kurulumu:
1- Vega açtıktan sonra üst taraftaki Scan kısmından new scan kısmından www.hedefsite.com olarak yazıp finish yaparak taramayı başlatalım.
2- Gördüğümüz gibi siteyi tarar ve internet hızınıza göre uzun sürebilir.
Bulduğu açıkları yüksek,orta,düşük diye alt alta sıralar.
Scan Alert kısmından + işaretine tıklayarak sitenin açıklarını inceyebilirsiniz.
6- WPScan
Wordpress alt yapısı kullanan siteleri tarayarak güvenlik açıklarını bildirir.
Program aracılığıyla dizin açıkları, tema açıkları, eklenti açıkları ve brute force gerçekleştirebilirsiniz.
1- wpscan yazarak programı çalıştıralım.
2- wpscan --url Kişisel Blog Sayfası - Hedef Blog --random-user-agent diyerek taramayı başlatalım.
user-agent ile güvenlik duvarı (waf) aşabilirsiniz.
NOT : KONU BANA AİT DEĞİLDİR !!!