Zafiyet Tarama Araçları - W3AF
Konumuzda W3AF aracını , yani web uygulamaları üzerinde güvenlik açığı testi yapabileceğimiz bir tarama(Scanner) aracını inceleyeceğiz.
Benim görüşümde python diliyle yazılmış en kullanışlı araçlardan biridir. Bir çok scanner aracı var fakat şahsen W3AF nin hem grafiksel hemde kapsamlı bir araç olmasından dolayı çok hoşuma gidiyor. Hemen aracımıza göz atmaya başlayalım...Konsola veya Show application bölümüne "w3af" yazarak aracımızı açabiliriz.

Profiles kısmı altında hazır tarama profilleri yer alıyor. empty_profile bölümünden kendinize göre otomatik olarak pluginleri seçebilirsiniz. Owasp_Top10 bölümünde ise owaspta bulunan en tehlikeli 10 açığın taramasını otomatik olarak seçebilirsiniz.Bir çok açık tarama çeşidi mevcut fakat bu taramaları daraltırsanız sizin için zaman kaybı yaşanmayacaktır. Yani örnek verecek olursak ; ASP bir sistemde LFI açığını taramamız bize zaman kaybettirir. Tarama yapacağınız sitenin bilinen özelliklerine göre ve sizin hangi açığın hangi hazır sisteme göre olduğunu bilmenize yönelik elemeler yapabilirsiniz ki yapmanız gerekmektedir. Tarama bazen çok uzun sürebiliyor hatta aracın donmasına bile sebep olabilir.




Faydalı bir konu olması dileğimle, azimli günler dilerim. (AkkuS)