Selamun Aleyküm
Netsparkerın iki ayrı sürümü mevcut. Bunlar Netsparker Professional Edition ve Netsparker Community Edition sürümleridir. Netsparker Community Edition sürümü ücretsiz sürüm olup, XSS ve SQL Injection zafiyetlerini tespit edebilme becerisine sahiptir.
Netsparker;
1-) Cross-Site Scripting (XSS)
2-) Reflected XSS
3-) Stored XSS
4-) Dom Based XSS
5-) SQL Injection
6-) Boolean SQL Injection
7-) Blind SQL Injection
Script Source Code Disclosure
9-) Command Injection
10-) Blind Command Injection
11-) File Inclusion
12-) Remote File Inclusion (RFI)
13-) Local File Inclusion (LFI)
14-) Remote Code Evaluation
15-) Directory Traversal
16-) HTTP Header Injection
17-) Expression Language Injection
1 Find Backup Files
19-) Crawl
Gibi birçok zafiyet testini yapabilme becerisine sahiptir. Netsparkerın en önemli özelliklerinin başında yukarıda bahsetmiş olduğum zafiyetleri değerlendirip sızma becerisine sahip olmasıdır.
Netsparker Community sürümünü indirmek için http://www.mavitunasecurity.com/communityedition/download/ adresine giriniz. Otomatik indirme işlemi başlayacaktır. Programı indirip kurulumu tamamlayalım.
Programı kurup çalıştırdıktan sonra, her zaman yaptığımız gibi mutlaka güncellememiz gerekir. Help menüsünden Check for Updatei tıklayarak yeni güncellemelerin varlığını kontrol ederek, programı yeni zafiyetleri tarayabilmesi için güncel tutuyoruz.
Bu işlemi tamamladıktan sonra zafiyet testi yapmaya geçebiliriz.
Sol üst köşede bulunan Start New Scan, File menüsünde bulunan Start New Scan yada Ctrl + N tuş kombinasyonu ile yeni bir tarama yapacağımızı belirtiyoruz.
Start New Scani tıklayınca Resim-02deki ekran ile karşılaşacağız. Target URL kısmına hedef sitenin adresini yazıyoruz. Ben Damn Vulnerable Linux sürümünde web yayını yapan 192.168.132.136 adresini yazdım. Hemen altında Security Tests kısmında test etmek istediğimiz zafiyetler bulunmaktadır. Burda seçili zafiyet testi ne kadar fazla ise tarama o denli uzun sürecektir. Bir web uygulamasında sadece XSS testi yapacaksak Cross-site Scripting, sadece SQL Injection testi yapacaksak eğer SQL Injection kısımlarını seçmemiz gerekir. Kendize uygun test kısımlarını seçiniz. Hemen ardından Start Scan butonunu tıklayınız.
Tarama yapılırken Site Map (Resim-03) kısmında Crawl ve zafiyet çıktısı görülebilir. Netsparker burda site üzerinde bulunan dosya ve klasörleri tespit eder.
Zafiyet testi tamamlandığında 21 Critical güvenlik zafiyeti, 64 important zafiyet, 17 low zafiyet ve 110 information toplamış.
Netsparkerın tespit ettiği zafiyetlere bakacak olursak eğer Issues (212) menüsünden Severityi işaretleyerek zafiyetlerin kategorik bazda filtrelenmesini sağlıyoruz. Hemen ardından Critical olarak işaretlenmiş zafiyetlere bakıyoruz.
Critical olarak işaretlenmiş zafiyetler Resim-06daki gibi görünecektir. Burda SQL Injection zafiyetlerinin tespit edildiğini görebiliriz. Netsparkerın bu zafiyetleri kullanarak exploit edebilmesi için, SQL Injection panelinin aktif edilmesi gerekiyor. View menüsünden SQL Injectionı tıklarsak, Resim-06nın üst kısmında bulunan SQL Injection paneli görünecektir. Böylece alt kısımdan zafiyeti seçtikten sonra üst tarafta bulunan SQL Injection panelinden exploit ederek sisteme sızma işlemini gerçekleştirebiliriz.
Eğer bulunan zafiyetler arasında Code Execution zafiyeti mevcut ise, View menüsünden Code Executionı işaretliyerek Resim-07de bulunan Code Execution paneli çalışacaktır. Böylece bulunan zafiyeti exploit ederek sisteme sızabiliriz.
Netsparker bulunan zafiyetleri exploit edebilme becerisine sahip olduğu için diğer web güvenlik araçları içerisinden kolayca sıyrılıp üstlerdeki yerini aldı. Tüm bunların yanında diğer güvenlik araçlarının en büyük eksiklerinden biri olan raporlama eksiği de Netsparker ile giderilmiş durumdadır. Raporlama açısından da oldukça başarılı bir araçtır.
Netsparkerın iki ayrı sürümü mevcut. Bunlar Netsparker Professional Edition ve Netsparker Community Edition sürümleridir. Netsparker Community Edition sürümü ücretsiz sürüm olup, XSS ve SQL Injection zafiyetlerini tespit edebilme becerisine sahiptir.
Netsparker;
1-) Cross-Site Scripting (XSS)
2-) Reflected XSS
3-) Stored XSS
4-) Dom Based XSS
5-) SQL Injection
6-) Boolean SQL Injection
7-) Blind SQL Injection
Script Source Code Disclosure9-) Command Injection
10-) Blind Command Injection
11-) File Inclusion
12-) Remote File Inclusion (RFI)
13-) Local File Inclusion (LFI)
14-) Remote Code Evaluation
15-) Directory Traversal
16-) HTTP Header Injection
17-) Expression Language Injection
1
Find Backup Files19-) Crawl
Gibi birçok zafiyet testini yapabilme becerisine sahiptir. Netsparkerın en önemli özelliklerinin başında yukarıda bahsetmiş olduğum zafiyetleri değerlendirip sızma becerisine sahip olmasıdır.
Netsparker Community sürümünü indirmek için http://www.mavitunasecurity.com/communityedition/download/ adresine giriniz. Otomatik indirme işlemi başlayacaktır. Programı indirip kurulumu tamamlayalım.
Programı kurup çalıştırdıktan sonra, her zaman yaptığımız gibi mutlaka güncellememiz gerekir. Help menüsünden Check for Updatei tıklayarak yeni güncellemelerin varlığını kontrol ederek, programı yeni zafiyetleri tarayabilmesi için güncel tutuyoruz.
Bu işlemi tamamladıktan sonra zafiyet testi yapmaya geçebiliriz.
Sol üst köşede bulunan Start New Scan, File menüsünde bulunan Start New Scan yada Ctrl + N tuş kombinasyonu ile yeni bir tarama yapacağımızı belirtiyoruz.
Start New Scani tıklayınca Resim-02deki ekran ile karşılaşacağız. Target URL kısmına hedef sitenin adresini yazıyoruz. Ben Damn Vulnerable Linux sürümünde web yayını yapan 192.168.132.136 adresini yazdım. Hemen altında Security Tests kısmında test etmek istediğimiz zafiyetler bulunmaktadır. Burda seçili zafiyet testi ne kadar fazla ise tarama o denli uzun sürecektir. Bir web uygulamasında sadece XSS testi yapacaksak Cross-site Scripting, sadece SQL Injection testi yapacaksak eğer SQL Injection kısımlarını seçmemiz gerekir. Kendize uygun test kısımlarını seçiniz. Hemen ardından Start Scan butonunu tıklayınız.
Tarama yapılırken Site Map (Resim-03) kısmında Crawl ve zafiyet çıktısı görülebilir. Netsparker burda site üzerinde bulunan dosya ve klasörleri tespit eder.
Zafiyet testi tamamlandığında 21 Critical güvenlik zafiyeti, 64 important zafiyet, 17 low zafiyet ve 110 information toplamış.
Netsparkerın tespit ettiği zafiyetlere bakacak olursak eğer Issues (212) menüsünden Severityi işaretleyerek zafiyetlerin kategorik bazda filtrelenmesini sağlıyoruz. Hemen ardından Critical olarak işaretlenmiş zafiyetlere bakıyoruz.
Critical olarak işaretlenmiş zafiyetler Resim-06daki gibi görünecektir. Burda SQL Injection zafiyetlerinin tespit edildiğini görebiliriz. Netsparkerın bu zafiyetleri kullanarak exploit edebilmesi için, SQL Injection panelinin aktif edilmesi gerekiyor. View menüsünden SQL Injectionı tıklarsak, Resim-06nın üst kısmında bulunan SQL Injection paneli görünecektir. Böylece alt kısımdan zafiyeti seçtikten sonra üst tarafta bulunan SQL Injection panelinden exploit ederek sisteme sızma işlemini gerçekleştirebiliriz.
Eğer bulunan zafiyetler arasında Code Execution zafiyeti mevcut ise, View menüsünden Code Executionı işaretliyerek Resim-07de bulunan Code Execution paneli çalışacaktır. Böylece bulunan zafiyeti exploit ederek sisteme sızabiliriz.
Netsparker bulunan zafiyetleri exploit edebilme becerisine sahip olduğu için diğer web güvenlik araçları içerisinden kolayca sıyrılıp üstlerdeki yerini aldı. Tüm bunların yanında diğer güvenlik araçlarının en büyük eksiklerinden biri olan raporlama eksiği de Netsparker ile giderilmiş durumdadır. Raporlama açısından da oldukça başarılı bir araçtır.
Son düzenleme:
