Skipfish Aracı ile Web Uygulamalarına Yönelik Güvenlik Taramasının Gerçekleştirilmesi

0
23
views
Web uygulamaları sızma testleri sırasında uygulama üzerindeki zafiyetlerin otomatik araçlarla tespit edilebilmesi gerekebilemektedir. Bu yazıda, Kioptrix (Seviye – 1.2[#3]) sanal makinesine Skipfish aracı ile aktif web uygulama zafiyet taraması gerçekleştirilecektir.

Yazıda kullanılan Kioptrix: Seviye – 1.2 (#3) sanal makinesi Vulnhub sitesinden indirilebilir.

https://www.vulnhub.com/entry/kioptrix-level-12-3,24/

 

Taramanın gerçekleştirileceği web uygulaması bir blog sayfasıdır.

 

Skipfish, Google tarafından desteklenen, web uygulaması güvenlik testlerinde kullanılan araçlardandır. Güvenlik zafiyetlerinin yanı sıra sözlük taraflı taramalar da gerçekleştirilebilir. Kali üzerinde de varsayılan olarak bulunur.

Not: Bu araç çok fazla talepte bulunmakta ve 404 hatası alınabilmektedir.

Örnek kullanımında derinlik seviyesi ve çıktı dizini verilerek tarama başlatılabilir.

skipfish -o TaramaSonucu -d 2 http://10.10.2.179

 

Not: Bunun yanında “-A” ile HTTP kimlik bilgileri, “-W” veya “-S” ile sözlük dosyası da verilebilir.

Tarama süresi kapsama göre değişebilmektedir.

 

Bu süre sonrasında tarama tamamlanır ve belirtilen dizine sonuçlar kaydedilir.

 

Tarama sonucuna ait rapor örneği aşağıdaki gibi kritiklik seviyesi, doküman tipi, bulgu detayı olarak listelenmiştir.

 

Tespit edilen bulgular aşağıdaki gibidir.

 

Show Trace” bağlantısına tıklanarak bulgu detayı (talep ve alınan cevap) incelenebilir.

 

Tespit edilen dosya dahil etme zafiyeti CURL ile doğrulanabilir

curl http://10.10.2.179/index.php?system=/../../../../../../etc/passwd%00.

 

Kaynak:

https://hackertarget.com/new-web-application-security-tool-from-google-skipfish/
http://tannerburson.com/blog/2010/04/19/Web-Security-testing-with-skipfish/

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz