Acunetix programı ile taranan web sitelerinin var
olan açıklarını bulabilirsiniz. Tarama sonucunu da PDF, RTF, REP veya HTML
formatları ile raporlayarak bilgisayarınıza kayıt edebilirsiniz.
Web güvenliği konusunda birçok
özelliğe sahip olan Acunetix Vulnerability Scanner programının başlıca yedi
özelliğinden bahsedeceğim.
İlk olarak Acunetix Vulnerability
Scanner programının sahip olduğu Site Crawler özelliği sayesinde taranan
web sitenin haritasını çıkarmanızı sağlar. Web sitenizi tarayarak tüm
dosyalarını harita olarak çıkartan Acunetix Vulnerability
Scanner, haritada
göstermiş olduğu dosyaları tarama işlemi sırasında renklendirerek açığın
durumunu görmenizde size yardımcı olmaktadır.
Yukarda bulunan ekran görüntüsünde de
görüldüğü gibi sol da bulunan bölüm tarama sonucunda çıkan web sitesine ait
dosyaların bulunduğu bölüm ve her dosyanın başında bulunan renkli ünlem
işaretleri de o açığın önemini belirtmektedir. Açıkların önemi ve renklerin
anlamı da yukarda bulunan ekran görüntüsünün sol tarafında gösterilmektedir.
Acunetix Web Vulnerability
Scanner programında bulunan Target
Finder özelliği sayesinde kullanıcılar IP aralığını tarama imkânına
sahiptirler. Ayrıca HTTP / HTTPS sunucularını tanımlamak için de kullanılırlar.
Acunetix programının sahip olduğu
Domain Scanner özelliği ile de kullanıcılarına tarama yapılan sitenin sahip
olduğu subdomain leri (alt alan adlarını) listeleme imkânı sunuyor.
Acunetix bunların yanında Blind
SQL Injector sayesinde BSQL işlemini otomatik olarak yapabilme özelliğine
sahiptir ve http Sniffer özelliği ile log tutabilir, veri trafiği
denetleyebilirsiniz.
Acunetix Web Vulnerability Scanner, HTTP/HTTPS
request ve response ları analiz edebilir ve HTTP header bilgileri HTTP Editor özelliği sayesinde düzeltilebilir.
Web sitelerinde en sık
karşılaşılan açıklar arasında SQL Injection, Blind SQL Injection, Cross Site
Scripting, CRLF Injection, Code execution, Directory, Traversal, File Inclusion
Authentication bypass vardır. Acunetix, sıkça karşılaşılan bu açıklara çok
etkin çözümler üretmektedir.
Ürünün CSA (Client Script Analyzer) motoru ile en
son ve karmaşık Ajax/Web 2.0 açıklıklarını bulmak ve bu sayede müdahale etmek
mümkün olabiliyor.
Web uygulamasının ön ve arka
planını Google Hacking Database ve AcuSensor teknolojisi ile detaylıca tarama
ve daha geniş kapsamlı testler yapabilme imkânı sunuyor.
Web güvenliği ile direkt ilgili olan FTP, IMAP,
SQL, POP3, Socks, SSH ve Telnet üzerinde şifre açığı taraması yapmaktadır.
Bununla birlikte DNS sunucuları üzerinde Open Zone Transfer, Open Recursion ve
Cache Poisoning denetimlerinin de yapılabiliyor olması, web güvenliğini ciddi
oranda arttırmaktadır.
Bu denetimlerle Web ile ilgili olmayan ancak web
güvenliğini ilgilendiren yan sistemler de denetime tabi tutularak güvenlik
seviyesi yükseltilmektedir.
Ülkemizde çok yaygın olmasa da listeye
eklemediğimiz, Program PHP versiyon, PHP Zend_Hash_Del_Key_or_Index gibi
açıkları da bulabilme özelliğine sahiptir.
Ayrıca Acunetix ile ileri seviye sızma testi
(penetration test) süreçleri için Acunetix'in HTTP Editor, HTTP Sniffer, HTTP
Fuzzer, WVS Scripting Tool ve Blind SQL Injector araçları ile detaylı sızma
senaryoları gerçekleştirilebilir.
Web Uygulamalarına Adapte Olabilme Konusunda
Acunetix kendini kanıtlamıştır çünkü Captcha, Single Sign On ve
Two Factor Authentication desteği ile her türlü Web uygulamasına adapte
olabilme özelliğine sahip olan Acunetix, rakiplerine oranla web güvenliğinde
çok iyi işler başarmaktadır. Acunetix, değişik lisanslama çeşitlerine sahip
olmasından dolayı da rakiplerine kıyasla maliyet avantajı da
sağlayabilmektedir.
Bu bölümde sizlere Acunetix Web
Vulnerability Scanner’ın kurulumu hakkında bilgi vereceğim.
İlk olarak minimum sistem
gereksinimleri ile başlayalım.
İşletim Sistemi:
Windows XP,
2008 Server , Windows 7
Hard diskte en
az 512 MB alan
2 GB Ram
Tarayıcı:
Internet
Explorer 8, Google Chrome, Mozilla Firefox
Kurulum
Acunetix
Web Vulnerability programının deneme sürümünü buradan indirin.
Acunetix Web Vulnerability
Scanner programının deneme sürümünü indirmek için linke tıkladıktan sonra
karşınıza yukarda ki ekran çıkacaktır. İlk olarak sizden istenen bilgileri
doğru bir şekilde girin ve daha sonra “Download
now” a tıklayın.
Not: Bunun sebebi ”Download
now” a tıkladıktan sonra programın indirme linkini sizden istenen e-mail
adresine yollayacaktır. E-mail adresini yanlış girdiğiniz zaman programın
indirme linki elinize ulaşmayacaktır.
Kurulum
dosyasını bilgisayara indirdikten sonra programı bilgisayara kurmak için
kurulum dosyasını çalıştırıyoruz.
Kurulum dosyasını çalıştırmamızın
üzerine karşımıza Acunetix Web Vulnerability Scanner kurulum sihirbazına hoş
geldiniz başlıklı bir pencere çıkacak. “Next”
e tıklıyoruz.
Bu sefer ki pencerede karşımıza
lisans sözleşmesi çıkıyor. Sözleşmenin altında da iki adet seçenek bulunuyor.
Sözleşmeyi kabul ediyorum ( I accept the agreement) işaretledikten sonra tekrar
“Next” diyoruz.
Programın kurulacağı yeri programın kendisi
otomatik olarak belirlemektedir. Eğer kurulacağı yeri siz kendiniz belirlemek
istiyorsanız, “Browse” a tıklayarak programın kurulacağı yeri kendiniz
belirleyebilirsiniz.
Sonraki pencerede programın kısa
yolunun masaüstüne oluşturulup, oluşturulmayacağı soruluyor. Ben oluşturulsun
diyorum ve “Create a desktop icon” u
işaretleyerek tekrar “Next” diyorum.
Son olarak bize programın kısa
yolunun oluşturulacağı ve yükleneceği yer ile ilgili hatırlatma yapıyor.
Program bilgisayara yüklenmeye hazır. Son olarak “Install” diyoruz ve programı bilgisayara yüklüyoruz.
Kullanım
Ben
kullanımını anlatma amacı ile resimli anlatım uygulayarak bir web sitesi
taraması yapacağım. Bunun yanında da anlatımlarım arasında programla ilgili
bilgiler vereceğim. Şimdi, kurulumu tamamladıktan sonra uygulamayı açıyoruz.
Kurulum işlemi
tamamlandıktan sonra ve programı açtıktan sonra ilk olarak sol üstte bulunan ”New
Scan“ a tıklıyoruz. Daha sonra karşımıza gelen pencerede açıklarını
taratmak istediğimiz web sitenin adresini başına http:// ekleyerek
yazıyoruz ve “Next” diyoruz.
Daha sonra karşımıza yukarda
bulunan ekran görüntüsünde ki pencere çıkacaktır. Bu pencerede taramanın
profilini ve taramanın ayarlarını yapılandırabilirsiniz. Bu pencere de bulunan
ayarlara dokunmayıp default da bırakarak “Next” dediğiniz de program tüm
açıkların olabileceği düşüncesiyle kapsamlı bir tarama yapar. Ayrıca bu bölümde
de ek olarak yalnız sizin seçmiş olduğunuz açığın taramasını yapar. Eğer bu
kısmı da default ayarda bırakırsanız, tüm açıkları otomatik olarak kendisi
tarayacaktır.
"Next" dedikten sonra karşımıza çıkan pencerede hedef yani
taratmak istediğimiz web sitesi hakkında işletim sistemi, webserver ve
teknolojisi hakkında bilgiler, gelecektir. Tekrar "Next"
diyerek devam ediyoruz.
Bazı internet siteleri üye girişi yapmadan sitede
gezinilmesine kapalı olmasından dolayı o sitede tarama yapamayız. Bu gibi
durumlarda Record New Login Sequence ve açılan pencerede gereken işlemleri
yapıyoruz. Eğer gerek yoksa da <no login squence> olduğu gibi bırakıyoruz.
“Finish” dedikten sonra uygulama
yazdığınız web sitenin açıklarını taramaya başlar. Bunun sonucunda yukarıda
kırmızı, turuncu, mavi ve yeşil renklerde linkler verir. Bu linkler taranan
internet sitesinde tespit ettiği açıkların taşıdığı riskin değerini temsil
etmektedir. Mavi renkte olanlar zararsız açıklardır. Kırmızı renkte olan
açıklar ise risk taşıyan açıklardır. Öncelikle müdahale edilmesi gereken açık
ise kırmızı renkteki açıklardır.
Hiç yorum yok:
Yorum Gönder