OWASP ZAP ile Web Sitelerinde Zafiyet Tespiti

OWASP ZAP ile web sitelerinde zafiyet tespiti

OWASP ZAP, Kali ile gelen ve web zafiyetlerini otomatik olarak tespit eden açık kaynak kodlu bir web güvenlik tarayıcısıdır. Proxy sunucu olarak kullanılabilir ve bu sayede https trafiği de dahil olmak üzere aracın içinden geçen tüm trafik değiştirilebilir.

Programı çalıştırmak için Aplications-Web Aplication Analysis-owasp-zap yolunu izliyoruz. Eğer kurulu değilse apt install zaproxy komutu ile kurabilirsiniz.

Programı çalıştırdığımızda karşımıza bir lisans anlaşması gelecek, Accept düğmesine tıklayarak geçiyoruz. Ardından açılan pencerede ilk seçeneğe onay koyup Start düğmesine tıklıyoruz.

Şimdi de programı güncelleyelim. Bunun için help menüsünden Check for updates seçeneğine tıklıyoruz. Yeni açılan pencerede güncelleme yapılacak seçeneklere onay koyup Update All düğmesine tıklıyoruz. Güncellemeler bitince programı kullanmaya başlayabiliriz.

Metasploitable Linux’da Mutillidae isimli OWASP Top 10 zafiyetleri içinde barındıran bir web uygulaması bulunur. Bunun üzerinde zafiyet tespitlerimizi yapacağız.

Owasp-zap programında Mutillidae adresini yazıp Attack düğmesine tıklayalım.

Önce Spider sonra da Active Scan sekmesinde tarama işlemini görebiliriz.

Tarama işlemi bitince Alert sekmesinde bulunan zafiyetleri görebiliriz.

Şimdi de Mutillidae üzerinde sql injection nasıl yapılır görelim. Fakat bunun için önce Metasploitable üzerinde çalışan Mutillidae veri tabanında bir değişiklik yapmalıyız yoksa hata veriyor.

Metasploitable komut satırında sudo nano var/www/mutillidae/config.inc komutunu yazıyoruz.

Konfigürasyon dosyasını nano ile açıp metasploit olan veri tabanı ismini owasp10 yapıyoruz. Ardından Ctrl+X ve Y tuşlarına basıp değişiklikleri kayıt edip çıkıyoruz.

Şimdi bir tarayıcı açıp 192.168.20.145/mutillidae/ yazarak uygulamaya ulaşalım. Burada OWASP Top 10-A1 Injection-SQLi Extract Data- User Info yolunu izleyerek ilgili sayfaya gelelim.

Name bölümüne ‘ or 1=1 — yazalım. Yalnız iki tire işaretinden sonra boşluk tuşuna basmayı unutmayın.

Parola bölümünü boş bırakarak View Account Details düğmesine tıklayalım. Sayfanın altında veri tabanında bulunan kullanıcılar ve parolalar görüntülenir.

Şimdi bunlardan admin kullanıcı adı ve adminpass parolası ile üst menüdeki Login/resigter linkine tıkladığımızda açılan sayfada giriş yapalım.

Sql injection tabi ki bu kadar kolay değil. Fakat Mutillidae üzerindeki birçok uygulamayı pratik yaparak kendinizi geliştirebilirsiniz. Bunun için https://www.youtube.com/user/webpwnized adresindeki videoları izleyebilirsiniz.

Tags:

About The Author

Reply