- 23 Tem 2023
- 91
- 80
Hepinize selam arkadaşlar bu konuda sizlere hedef web sitelerindeki güvenlik açıkların nasıl tespit edilir konusunda bahsedicem. Hazırsanız konuya geçelim.
Güvenlik Açığı Nedir
Web sitelerinde kullanılan yazılımların güncellenmemesi veya kullanılan kodların yanlış yapılandırılması sonucu oluşan zafiyetlerdir. Düşük düzeyden kritik düzeye kadar değişik güvenlik açıkları mevcuttur. Güvenlik açıklarının kategorisne ve kritiklik seviyesine uygun olarak işlem yapılır ve mümkün ise sisteme sızma işlemi gerçekleşir. Bu yüzden güvenlik açıkları oldukça önemli bir konudur. Bir çok kurumsal şirketler günümüzde sızma testi uzmanları tutarak sistemlerinin güvenliklerini test ederler.
Güvenlik Açığı Tarama Programları
Güvenlik açıklarının önemli bir konu olduğunu söylemiştik. Şimdi ise bu güvenlik açıklarını tespit eden programlara gelelim. Nessus, skipfish, openvas gibi birçok ücretli, ücretsiz arac mevcuttur. Bu araçların hepsi hemen hemen aynı sonucu vermektedir. Biz burada zaproxy aracını kullanacağız.
Zaproxy Aracı
Bu araç web sitelerindeki uygulamaların güvenlik açıklarını tespit etmek üzere geliştirilmiş profesyonel ve en önemli ücretsiz bir araçtır. Bir çok araç tarama işlemini veya daha derin tarama işlemini paralı bir şekilde yapar fakat zaproxy tamamen ücretsizdir. Penetrasyon testi uzmanları, siber güvenlik ile ilgilenenler güvenlik açığı taraması yapmak içi OWASP ZAP'ı kullanabilir.
Zaproxy Kurulum
Aracımız kali linux üzerinde hazır olarak kurulu gelmese de kali linuxun deposunda saklı olarak beklemekte. Terminalimizi açarak "apt-get install zaproxy" komutunu yazıyoruz ve tek komutla kolay bi şekilde aracımızın kurulumunu gerçekleştiriyoruz.
Zaproxy Kullanımı
Kurulum tamamlandıktan sonra terminale zaproxy yazıyoruz ve aracımız başlatılıyor. Aracımızın iki yöntemi var manuel ve otomatik.
Manuel: Belirli ve özel sayfaların testini yapmak için kullanılır.
Otomatik: Sitedeki tüm bağlantılar toplanır ve tarama işlemi yapılır.
Güvenlik Açığı Nedir
Web sitelerinde kullanılan yazılımların güncellenmemesi veya kullanılan kodların yanlış yapılandırılması sonucu oluşan zafiyetlerdir. Düşük düzeyden kritik düzeye kadar değişik güvenlik açıkları mevcuttur. Güvenlik açıklarının kategorisne ve kritiklik seviyesine uygun olarak işlem yapılır ve mümkün ise sisteme sızma işlemi gerçekleşir. Bu yüzden güvenlik açıkları oldukça önemli bir konudur. Bir çok kurumsal şirketler günümüzde sızma testi uzmanları tutarak sistemlerinin güvenliklerini test ederler.
Güvenlik Açığı Tarama Programları
Güvenlik açıklarının önemli bir konu olduğunu söylemiştik. Şimdi ise bu güvenlik açıklarını tespit eden programlara gelelim. Nessus, skipfish, openvas gibi birçok ücretli, ücretsiz arac mevcuttur. Bu araçların hepsi hemen hemen aynı sonucu vermektedir. Biz burada zaproxy aracını kullanacağız.
Zaproxy Aracı
Bu araç web sitelerindeki uygulamaların güvenlik açıklarını tespit etmek üzere geliştirilmiş profesyonel ve en önemli ücretsiz bir araçtır. Bir çok araç tarama işlemini veya daha derin tarama işlemini paralı bir şekilde yapar fakat zaproxy tamamen ücretsizdir. Penetrasyon testi uzmanları, siber güvenlik ile ilgilenenler güvenlik açığı taraması yapmak içi OWASP ZAP'ı kullanabilir.
Zaproxy Kurulum
Aracımız kali linux üzerinde hazır olarak kurulu gelmese de kali linuxun deposunda saklı olarak beklemekte. Terminalimizi açarak "apt-get install zaproxy" komutunu yazıyoruz ve tek komutla kolay bi şekilde aracımızın kurulumunu gerçekleştiriyoruz.
Zaproxy Kullanımı
Kurulum tamamlandıktan sonra terminale zaproxy yazıyoruz ve aracımız başlatılıyor. Aracımızın iki yöntemi var manuel ve otomatik.
Manuel: Belirli ve özel sayfaların testini yapmak için kullanılır.
Otomatik: Sitedeki tüm bağlantılar toplanır ve tarama işlemi yapılır.