15 49.0138 8.38624 1 1 4000 1 https://womaneng.com 300

Piyasadaki Web Açık Tarayıcılar

Günümüzde web uygulamaları neredeyse her organizasyonda önemli bir rol oynamaktadır ve kurumun kritik işleri bu uygulamalar üzerinden yapılmaktadır. Bununla birlikte, bilgisayar korsanları da her zaman gizli ve kritik olan bilgileri çalmak için daha çok kurumsal web uygulamalarını tercih etmektedir. Bu yüzden kurumlar bilgisayar korsanlarının kurumsal bilgi ve verilere yetkisiz erişmesini önlemek için web sitelerindeki güvenlik açıklarını tarayabilen bir web tarama aracına ihtiyaç duyulmaktadır. Bir web güvenlik açık tarayıcı, kaynak kodlara erişmeden güvenlik açıklarını ve mimari zayıflıkları keşfetmek için tarama yapmaktadır. Ücretli veya ücretsiz sunulan birkaç web güvenlik tarayıcısı bulunmaktadır. Aşağıda güvenlik risklerini ortadan kaldırarak, web uygulama güvenliğini sağlamak için piyasada en çok tercih edilen web güvenlik tarayıcılarından bazıları verilmiştir.

1. Grabber 
Grabber, web uygulamalarında birçok güvenlik açığını algılayabilen güzel bir web uygulama tarayıcısıdır. Taramayı yaparak açıkların nerede olduğunu kullanıcıya bildirmektedir. 
Belirtilen güvenlik açıklarını tespit edebilir: 

  • Siteler arası komut dosyası oluşturma (XSS) 
  • SQL Enjeksiyonu 
  • Ajax testi 
  • Dosya dâhil etme 
  • Yedek dosya kontrolü 

Diğer güvenlik tarayıcılarına kıyasla hızlı değildir. Yalnızca küçük web uygulamalarını test etmek için kullanılmaktadır. Herhangi bir kullanıcı arayüzü sunmamaktadır. Ayrıca herhangi bir PDF raporu oluşturmamaktadır. Bu araç Python’da geliştirilmiştir ve açık kaynak kodludur geliştirilmeye açıktır. 

Buradan indir: http://rgaucher.info/beta/grabber/
Kaynak Kod: https://github.com/neuroo/grabber


2. Vega 

Vega, ücretsiz açık kaynak kodlu web güvenlik tarayıcı ve test platformudur. Bu platformda bir web uygulamasının güvenlik testlerini yapabilirsiniz. Java ile geliştirilen bu araç kullanıcı arayüzüne sahip bir ortam sunmaktadır. Aşağıda belirtilen güvenlik açıklarını tespit edebilir: 

  •  Siteler arası komut dosyası oluşturma (XSS) 
  •  SQL Enjeksiyonu 
  •  Kabuk enjeksiyonu 
  •  Dosya dâhil etme 
  •  Yedek dosya kontrolü ve diğer web uygulamaları güvenlik açıkları dâhil etme

Kaynak: https://subgraph.com/vega/documentation/index.en.html
Vega İndir: https://subgraph.com/vega/


3. Wapiti 

Web uygulamalarının güvenliğini denetleyebileceğiniz güzel bir web güvenlik açığı tarayıcısıdır. Kullanıcı arayüzü sunmamaktadır. Bir komut satırı uygulamasıdır ve bu yüzden kullanmak için komut bilgisi ve profesyonellik gerektirmektedir. Bu uygulama ile aşağıda belirtilen güvenlik açıklarını tespit edebilir: 

  •  Siteler arası komut dosyası oluşturma (XSS) 
  •  Dosya gizliliği 
  •  Dosya dâhil etme 
  •  Xpath enjeksiyonu 
  •  SQL Enjeksiyonu 

Kaynak kodla birlikte indir: http://wapiti.sourceforge.net/


4. Burp Suite 

Web uygulamalarının güvenliğini değerlendiren bir araçtır. Sınırlı özelliklere sahip ücretsiz bir sürümü olmakla beraber, artırılmış özellikleriyle ücretli bir ticari sürüme sahiptir. Web uygulamalarının güvenlik testleri için entegre bir platformdur ve efektif bir şekilde çalışmaktadır. Birçok güvenlik açık çeşidini otomatik bulmaya yönelik özelleştirilmiş bir araçtır. 


5. Netsparker 

Netsparker, web sitesinin oluşturulduğu dil ya da teknolojiden bağımsız olarak, SQL Injection ve XSS gibi güvenlik açıklarını tespit eden ve çözüm önerilerin olduğu detaylı bir raporlama yapan bir araçtır. Ayrıca çalışma mantığının temelini oluşturan “İspata Dayalı Tarama Teknolojisi” (Proof-Based Scanning Technology) ile bulunan açıkların doğruluğunu kontrol etmeye gerek kalmıyor. Örneğin; XSS açığı bulunması durumunda Netsparker, kullanıcının kendi alıp çalıştırdığında açığı görebileceği bir script kod parçası üretir. Böylece açığın nasıl kullanılabileceğine dair fikir edinilebilir. 


6. Acunetix 

Acunetix; XSS, SQL Injection, Blind SQL Injection, CRLF Injection, Code execution, Directory Traversal, File Inclusion ve Authentication bypass gibi bir çok zafiyetin 19 

tespitinde kullanılan yaygın web araçlarından biridir. Buna ek olarak dns ile mail sunucuları ve portları üzerine de taramalar gerçekleştirerek yalnızca web değil, web güvenliğini ilgilendiren yan sistemleri de denetlemektedir. Acunetix’in kullandığı teknolojiler ve çalışma mantığından bahsedelim. Temel olarak 3 ana madde üzerinden taramayı sonlandırmaktadır. 

  •  Hedef Tanımlama 

Acunetix, ilgili hedefe erişilebildiğini ve bir web sunucusu çalıştırıp çalıştıramadığını kontrol eder ve daha sonra http protokolü üzerinden talepler sunar. Bu aşamadan sonra web sunucusunun türünü ve kullandığı teknolojileri tespit ederek, spesifik olarak yapılacak ayarlamaları otomatize eder. 

  • Sitenin taranması ve haritalanması 

Web Server’dan index dosyası istenir. Bir yanıt alındıktan sonra web sayfasında mevcut herhangi bir JavaScript’i çalıştırarak DeepScan başlatılır. Giriş alanları, linkler ve parametreleri takip ederek sitenin dosya ve dizin yapısını oluşturmaya çalışır. 

  • Site yapısının güvenlik analizinin yapılması 

Acunetix, hedef web sitesine karşı bir dizi güvenlik testi başlatır. Acunetix güvenlik açıklarını keşfederken, uyarılar gerçek zamanlı olarak raporlanır. Güvenlik açıkları ve bunların nasıl düzeltileceği ile ilgili öneriler hakkında ayrıntılı bilgiler verir. Eğer AcuSensor aktifse, exploit edilebilecek alanlar ve SQL sorguları da raporlanır. 


Web Açık Tarayıcıların Karşılaştırması 

Bir önceki yazımız olan SQL Injection Nedir? başlıklı makalemizde Bilgisayar, computer ve güvenlik hakkında bilgiler verilmektedir.

Paylaş:
Önceki
SQL Injection Nedir?
Sonraki
Web Açıklarının Önemi Nedir ?
HAKKIMDA
Zeynep Küçük

Hi, I’m Zeynep I am studying in computer engineering in Samsun. I love to share and write about anything that interests me in tech, so welcome on my blog. I’d be really glad to get in touch with you! Don’t forget you can always contact me by email for any inquiries.Follow me on social media.

0 Yorum

Yorumla

This site uses Akismet to reduce spam. Learn how your comment data is processed.