Zafiyet Tarama Araçları - W3AF
Konumuzda W3AF aracını , yani web uygulamaları üzerinde güvenlik açığı testi yapabileceğimiz bir tarama(Scanner) aracını inceleyeceğiz.
Benim görüşümde python diliyle yazılmış en kullanışlı araçlardan biridir. Bir çok scanner aracı var fakat şahsen W3AF nin hem grafiksel hemde kapsamlı bir araç olmasından dolayı çok hoşuma gidiyor. Hemen aracımıza göz atmaya başlayalım...Konsola veya Show application bölümüne "w3af" yazarak aracımızı açabiliriz.
Profiles kısmı altında hazır tarama profilleri yer alıyor. empty_profile bölümünden kendinize göre otomatik olarak pluginleri seçebilirsiniz. Owasp_Top10 bölümünde ise owaspta bulunan en tehlikeli 10 açığın taramasını otomatik olarak seçebilirsiniz.Bir çok açık tarama çeşidi mevcut fakat bu taramaları daraltırsanız sizin için zaman kaybı yaşanmayacaktır. Yani örnek verecek olursak ; ASP bir sistemde LFI açığını taramamız bize zaman kaybettirir. Tarama yapacağınız sitenin bilinen özelliklerine göre ve sizin hangi açığın hangi hazır sisteme göre olduğunu bilmenize yönelik elemeler yapabilirsiniz ki yapmanız gerekmektedir. Tarama bazen çok uzun sürebiliyor hatta aracın donmasına bile sebep olabilir. Audit kısmında web uygulama güvenlik açıklarını görebilirsiniz. Bu açıkların üzerine tıkladığımızda açık hakkında bilgilendirme yapıyor . Ben bir kaç tane taratmak istediğim açığı işaretledim ve taratmak istiyorum. Ayrıca Sol tarafta bulunan profillerden full_audit i seçerseniz çok daha kapsamlı açık taraması yapabilirsiniz. Target alanına taratmak istediğimiz web sitesini yazdıkran sonra Start diyerek taramamızı başlatabiliriz. Aracın alt tarafında yer alan output kısmından tarama çıktısını bir çok formattan alabiliriz. Örneğin email olarak , smtp mail server bilgilerinizi ( Standart port 25 ) yazarsanız mail olarakta size tarama bilgileri ulaşacaktır. Exploit bölümünde ise bazı açıkların sömürülmesini sağlayabilirsiniz. Görüldüğü gibi bir çok türdeki yazılımlarında modülleri yer alıyor. Bu sayede farklı yazılımları açmadan bazı işlemleri w3af üzerinden de yapabiliyoruz. Kullanımı oldukça basit ve kullanışlı bir araştır.
Faydalı bir konu olması dileğimle, azimli günler dilerim. (AkkuS)