Backtrack 5 R3 ‘de SkipFish ile Web Güvenlik Açıklarını / Zaafiyetlerini Taramak

İlk Olarak SkipFish Nedir?

SkipFish, Google tarafından açık kaynak kodlu olarak üretilen bir güvenlik aracıdır.Kodlarınızın her satırını inceleyen bu araç sizleri SQL , XSS , LFI / RFI ve XML İnjection gibi zafiyetlere karşı uyarıyor.Saniye de 2000 HTTP İsteminde bulunabilen bu araç, hem sunucuyu yormadan hemde hızlı bir şekilde testleri gerçekleştirip sizlere rapor sunuyor.
Hemen başlayalım arkadaşlar..
Hemen Applications sekmesinden; Backtrack > Vulnerability > Web Application Assessment > Web Vulnerability Scanners > SkipFish yolunu takip ederek uygulama parametremizi açıyoruz.













Karşımıza gelen parametremize komutlarımızı yazarak devam ediyoruz, peki bu komutlar nedir?
./skipfish -S dictionaries/complete.wl -o “tarama raporunun kaydedileceği dizin” “hedef site
Yani komutumuzun en son ki hali şudur;
./skipfish -S dictionaries/complete.wl -o /root/dizinadi http://www.hedefsite.net

Burada hedef site yerine kendi kişisel blog’umu yazdım, siz taratmak istediğiniz siteyi yazabilirsiniz.
Evet komutumuzu yazdık enter deyip taramamızı başlatalım.



Evet tarama işlemimizin yaklaşık 60 saniye içersinde başlayacağını söyliyor;




Evet tarama işlemimiz başladı ve bizlere taramayla ilgili birkaç istatistik verilmekte.Bunlar tarama istatistiği ve veritabanı istatistiği’dir.

Tarama istatistiği;

⇒Scan Time: Aşılan tarama süresi
⇒HTTP Requests: HTTP Talepleri
⇒Compression: Sıkıştırılan boyut
⇒HTTP Faults: HTTP Hataları
⇒TCP Handshakes: TCP Anlaşması
⇒TCP Faults: TCP Hataları
⇒External Links: Backlinkler.
⇒Reqs Pending: Beklenenler

Veritabanı istatistiği;

⇒Pivots: Gelinen nokta
⇒İn Progress: Gelinen noktaya kadar yapılan saldırılar
⇒Node Types: Oluşum türleri
⇒İssues Found: Bulunan hatalar
⇒Dict Size: Bulunan belgeler



Evet tarama tamamlandı;

Bize taramanın bittiğini ve Kaydedilen Raporun hangi dizinde olduğu hakkında bilgi veriyor;
Evet alttaki görselden de anladığımız üzere raporumuz /root/dizinadi/index.html dizinindedir;



Evet hemen root dizininden mahserat klasörüne geçiş yapalım.Bunun için Places > Home Folder yolunu takip ediyoruz;



Evet dizine geçiş root dizininden mahserat klasörüne giriyoruz ve bizi index.html dosyası karşılıyor. Hemen dağ tıklayıp Open with Firefox Web Browser butonuna tıklıyoruz;



Gördüğünüz gibi browser’da bize verilen raporu açıyoruz ve karşımıza tespit edilen uygulama zafiyetileri hakkında bilgi veriyor, bizi yönlendiriyor;




Burada bir zaafiyet bulamadı, çünkü tarattığımız site aslında olmayan bir site..Yani hedef olarak belirtilen site aslında yok..Böyle bir site olmadığı için bize verdiği hata sadece DNS Error’dur, bu hatada da bize böyle bir sitenin olmadığını söylemektedir.Siz kendi hedef sitenizi yazarak tarama yapabilirsiniz.Tekrar raporlar kaydetmek istediğiniz dizine gelecektir.




___________________________________________________________________________
Makaleyi farklı bir yerden alıntı / derleme yaptık yalnız orasıda Cw'den almış olmalı ki görsellerde bug ekibinin logosu mevcut.. kim hazırladıysa teşekkürü borç biliriz..

Hiç yorum yok:

Yorum Gönderme

Yorum yaptığınız için teşekkürler..