Merhaba Dostlar :=)
Zaproxy nedir?:
OWASP Zed Attack Proxy (ZAP) web uygulamalarındaki güvenlik açıklarını bulmak için kullanımı kolay bir entegre sızma testi aracıdır
çok çeşitli güvenlik deneyimine sahip kişiler tarafından kullanılmak üzere tasarlanmıştır ve bu nedenle penetrasyon testinde yeni olan geliştiriciler ve işlevsel testçiler için ideal olmasının yanı sıra deneyimli bir kalem test cihazı araç kutusuna faydalı bir ektir.
Özellikleri nelerdir?:
Yerleşik özelliklerden bazıları şunlardır: Araya giren proxy sunucusu , Geleneksel ve AJAX Web tarayıcıları Otomatik tarayıcı, Pasif tarayıcı Zorla tarama, Fuzzer, WebSocket desteği, Komut Dosyası dilleri ve Plug-n-Hack desteği Eklenti tabanlı bir mimariye ve yeni veya güncellenmiş özelliklerin eklenmesine izin veren çevrimiçi bir 'pazaryerine' sahiptir GUI kontrol panelinin kullanımı kolaydır.
Güvenlik testinin temelleri:
Yazılım güvenlik testi, sistemin ve verilerinin güvenlik risklerini ve güvenlik açıklarını keşfetmek için bir sistemi değerlendirme ve test etme sürecidir. Evrensel bir terminoloji yoktur, ancak amaçlarımız için değerlendirmeleri, bu güvenlik açıklarından fiilen yararlanmaya çalışmadan güvenlik açıklarının analizi ve keşfi olarak tanımlarız. Testi, güvenlik açıklarının keşfedilmesi ve bunlardan yararlanılmaya çalışılması olarak tanımlarız.
Güvenlik testleri, genellikle, test edilen güvenlik açığının türüne veya yapılan testin türüne göre, biraz keyfi olarak bozulur. Yaygın bir kopuş:
Zaproxy nedir?:
OWASP Zed Attack Proxy (ZAP) web uygulamalarındaki güvenlik açıklarını bulmak için kullanımı kolay bir entegre sızma testi aracıdır
çok çeşitli güvenlik deneyimine sahip kişiler tarafından kullanılmak üzere tasarlanmıştır ve bu nedenle penetrasyon testinde yeni olan geliştiriciler ve işlevsel testçiler için ideal olmasının yanı sıra deneyimli bir kalem test cihazı araç kutusuna faydalı bir ektir.
Özellikleri nelerdir?:
Yerleşik özelliklerden bazıları şunlardır: Araya giren proxy sunucusu , Geleneksel ve AJAX Web tarayıcıları Otomatik tarayıcı, Pasif tarayıcı Zorla tarama, Fuzzer, WebSocket desteği, Komut Dosyası dilleri ve Plug-n-Hack desteği Eklenti tabanlı bir mimariye ve yeni veya güncellenmiş özelliklerin eklenmesine izin veren çevrimiçi bir 'pazaryerine' sahiptir GUI kontrol panelinin kullanımı kolaydır.
Güvenlik testinin temelleri:
Yazılım güvenlik testi, sistemin ve verilerinin güvenlik risklerini ve güvenlik açıklarını keşfetmek için bir sistemi değerlendirme ve test etme sürecidir. Evrensel bir terminoloji yoktur, ancak amaçlarımız için değerlendirmeleri, bu güvenlik açıklarından fiilen yararlanmaya çalışmadan güvenlik açıklarının analizi ve keşfi olarak tanımlarız. Testi, güvenlik açıklarının keşfedilmesi ve bunlardan yararlanılmaya çalışılması olarak tanımlarız.
Güvenlik testleri, genellikle, test edilen güvenlik açığının türüne veya yapılan testin türüne göre, biraz keyfi olarak bozulur. Yaygın bir kopuş:
- Güvenlik Açığı Değerlendirmesi – Sistem güvenlik sorunları için taranır ve analiz edilir.
- Sızma Testi – Sistem analize ve simüle edilmiş kötü niyetli saldırganların saldırısına uğrar.
- Çalışma Zamanı Testi – Sistem, bir son kullanıcı tarafından analiz ve güvenlik testinden geçer.
- Kod İnceleme – Sistem kodu, özellikle güvenlik açıklarını arayan ayrıntılı bir inceleme ve analizden geçer.
Genellikle güvenlik testinin bir parçası olarak listelenen risk değerlendirmesinin bu listede yer almadığını unutmayın. Bunun nedeni, risk değerlendirmesinin aslında bir test değil, farklı risklerin (yazılım güvenliği, personel güvenliği, donanım güvenliği vb.) algılanan ciddiyetinin ve bu riskler için herhangi bir azaltma adımının analizi olmasıdır.
ZAP'A Giriş:
Zed Attack Proxy (ZAP), Open Web Application Security Project (OWASP) çatısı altında sürdürülen ücretsiz, açık kaynaklı bir sızma testi aracıdır. ZAP, özellikle web uygulamalarını test etmek için tasarlanmıştır ve hem esnek hem de genişletilebilirdir.
Özünde ZAP, "ortadaki adam proxy" olarak bilinen şeydir. Test cihazının tarayıcısı ile web uygulaması arasında durur, böylece tarayıcı ve web uygulaması arasında gönderilen mesajları yakalayabilir ve inceleyebilir, gerekirse içeriği değiştirebilir ve ardından bu paketleri hedefe iletebilir. Tek başına bir uygulama olarak ve bir daemon işlemi olarak kullanılabilir.
ZAP'A Giriş:
Zed Attack Proxy (ZAP), Open Web Application Security Project (OWASP) çatısı altında sürdürülen ücretsiz, açık kaynaklı bir sızma testi aracıdır. ZAP, özellikle web uygulamalarını test etmek için tasarlanmıştır ve hem esnek hem de genişletilebilirdir.
Özünde ZAP, "ortadaki adam proxy" olarak bilinen şeydir. Test cihazının tarayıcısı ile web uygulaması arasında durur, böylece tarayıcı ve web uygulaması arasında gönderilen mesajları yakalayabilir ve inceleyebilir, gerekirse içeriği değiştirebilir ve ardından bu paketleri hedefe iletebilir. Tek başına bir uygulama olarak ve bir daemon işlemi olarak kullanılabilir.
Pentest Hedefleri:
Pentestin nihai amacı, bu güvenlik açıklarının ele alınabilmesi için güvenlik açıklarını aramaktır. Ayrıca bir sistemin bilinen bir sınıfa veya belirli bir kusura karşı savunmasız olmadığını da doğrulayabilir; veya düzeltildiği bildirilen güvenlik açıkları durumunda, sistemin artık bu kusura karşı savunmasız olmadığını doğrulayın.
ZAP Masaüstü Kullanıcı Arayüzü:
ZAP Masaüstü Kullanıcı Arayüzü aşağıdaki öğelerden oluşur:
Menü Çubuğu – Otomatik ve manuel araçların çoğuna erişim sağlar.
Araç Çubuğu – En sık kullanılan özelliklere kolay erişim sağlayan düğmeleri içerir.
Ağaç Penceresi – Siteler ağacını ve Komut Dosyaları ağacını görüntüler.
Çalışma Alanı Penceresi – İstekleri, yanıtları ve komut dosyalarını görüntüler ve bunları düzenlemenize olanak tanır.
Bilgi Penceresi – Otomatik ve manuel araçların ayrıntılarını görüntüler.
Alt Bilgi – Bulunan uyarıların bir özetini ve ana otomatik araçların durumunu görüntüler.
Hadi Zaproxy hakkında bişiler öğrendiğimize göre şimdi uygulama işlemine geçelim
Komut satırına 'zaproxy' yazarak başlatıyoruz.
3. seçeneği seçip 'Başlangıç' diyip devam ediyoruz.
Devam ettiğimizde bizi böyle bir ekran karşılıcak
'Automated Scan' dicez
Şimdi saldırı bölümüne geldik
'Url to attack' bölümüne hedef siteyi yazın.
Sonrasında 'Saldırı'
Örümcek kısmında bize işemleri gösteriyor açıkların kaydediliş durumlarını
İşlendi kısmı yeşil simge ise işlenmiş demektir
Ancak işlendi kısmı kırmızı simge ise işlenemedi demektir.
'Uyarılar' kısmı ise açıkların çıktı kısmı.
Evet dostlar :=) Zaproxy aracı bu kadardı umarım yardımcı olabilmişimdir.
Menü Çubuğu – Otomatik ve manuel araçların çoğuna erişim sağlar.
Araç Çubuğu – En sık kullanılan özelliklere kolay erişim sağlayan düğmeleri içerir.
Ağaç Penceresi – Siteler ağacını ve Komut Dosyaları ağacını görüntüler.
Çalışma Alanı Penceresi – İstekleri, yanıtları ve komut dosyalarını görüntüler ve bunları düzenlemenize olanak tanır.
Bilgi Penceresi – Otomatik ve manuel araçların ayrıntılarını görüntüler.
Alt Bilgi – Bulunan uyarıların bir özetini ve ana otomatik araçların durumunu görüntüler.
Hadi Zaproxy hakkında bişiler öğrendiğimize göre şimdi uygulama işlemine geçelim
Komut satırına 'zaproxy' yazarak başlatıyoruz.
3. seçeneği seçip 'Başlangıç' diyip devam ediyoruz.
Devam ettiğimizde bizi böyle bir ekran karşılıcak
'Automated Scan' dicez
Şimdi saldırı bölümüne geldik
'Url to attack' bölümüne hedef siteyi yazın.
Sonrasında 'Saldırı'
Örümcek kısmında bize işemleri gösteriyor açıkların kaydediliş durumlarını
İşlendi kısmı yeşil simge ise işlenmiş demektir
Ancak işlendi kısmı kırmızı simge ise işlenemedi demektir.
'Uyarılar' kısmı ise açıkların çıktı kısmı.
Evet dostlar :=) Zaproxy aracı bu kadardı umarım yardımcı olabilmişimdir.
Konuyu okuyan herkese teşekkürler dilerim