Web uygulama ve güvenliği günümüzde internet kullanımının artması ve web sitelerin çoğalmasıyla birlikte şuanda siber saldırılarn büyük bir çoğunluğunu oluşturmaktadır. Web sitelerinin artmasıyla birlikte saldırganlar için saldırı yapabilecekleri alanlarda büyümeye başladı ve yeni uygulamalar ile birlikte yeni açıklar ortaya çıkmaya başladı bu açıkları test etmek için ise belirli yöntemler ile taramalar gerçekleştirilebilmektedir. Taramaları manuel olarak gerçekleştirebiliriz yada geliştirilmiş araçları kullanarak gerçekleştirmeyi seçebiliriz. Geliştirilmiş araçlar kullanmak manuel olarak tarama yapmaktan çok daha hızlı örnek olarak bir dizin taraması yada dorkları test etmeyi düşündüğümüz zaman manuel olarak bu işlemleri gerçekleştirme süremiz çok uzun sürecektir fakat bazı kısımlarda uygulamaların kullandıkları wordlistler yetersiz kalabiliyor taramalar basit düzeyde olan açıkları bulmamızı sağlıyorlar. Programların düşünme yetisi olmadığı için manuel olarak tarama yapmak daha sağlıklı çünkü sabit komutlar yerine düşünerek hareket ediyoruz bu sayede elde ettiğimiz bilgilere göre ilerleyerek daha sağlıklı sonuçlar elde edebiliyoruz.

W3brute Nedir ?

W3brute açık kaynak kodlu ve ücretsiz bir araçtır. Python dilinde kodlanmış bu aracı kullanarak otomatik olarak web uygulamarına brute force(kaba kuvvet) saldırısı yapmamızı sağlar. Bu araç sayesinde site üzerinde sql açıkları , admin paneli tarama , giriş sayfasına kaba kuvvet vb saldırılar gerçekleştirebiliriz. Bu araç Kali Linux üzerinde kurulu olarak gelen Hydra aracına benzemektedir fakat üstüne ek olarak birkaç yeni özellik eklenmiş ve söz dizimi Hydradan daha basitdir bu özellikte bu aracın kullanımını biraz daha arttırmaktadır.

Özellikler

1)Tarama

W3brute kaba kuvvet saldırı yapmayı destekleyen bir tarayıcı özelliğine sahiptir.

Desteklenen taramaların listesi.

  • Otomatik bir şekilde hedef kimlik doğrulama türünü tespit eder.
  • Admin panelini bulmak için bir tarama gerçekleştirir.
  • Sql açıklarını bulmak için tarama gerçekleştirir.


Otomatik bir şekilde hedef kimlik doğrulama türünü tespit eder.

  • Admin panelini bulmak için bir tarama gerçekleştirir.
  • Sql açıklarını bulmak için tarama gerçekleştirir.

2)Saldırı Türleri
W3brute çeşitli saldırı türlerini kullanarak saldırma işlemini gerçekleştirir.

Desteklediği saldırı türlerinin listesi.

  • Sql injection ile kullanıcı bypass edebiliriz yani özel sql karakterleri ile kullanıcıymışız gibi giriş yapabiliriz.
  • Hem sql karakterleri hemde kullanıcı adı bilgilerini karışık olarak dener.

3)Yardımcılar

Google dorkları

Çoklu hedef

Desteklenen yardımcıların listesi

  • web shell
  • HTTP 401 UNAUTHORIZED

Alınan bilgileri çıktı olarak da farklı formatta kaydetmeye yarar.

Desteklenen formatlar.

  • CSV(Varsayılan)
  • HTML
  • SQLITE3

W3brute Kurulumu

W3brute dosyalarını indirme işlemini burada bulunan github linki üzerinden zip olarak indirebilirsiniz yada aşağıdaki komut ile dosyaları git üzerinden indirebiliriz.

git clone https://github.com/aprilahijriyan/w3brute 

W3brute aracı tüm platformlar üzerinde çalışıyor fakat çalışması için Python’un 2.6 yada 2.7 sürümüne ihtiyaç duyulmaktadır. Aracın indirme işlemini tamamladıktan sonra klasörün içine girmemiz yeterlidir.

W3brute Kullanımı

python w3brute.py -h

Komutu ile aracımız üzerinde kullanabileceğimiz tüm komutların listesini görüntüleyebiliriz.

Admin panelini bulmak için bir dizin taraması gerçekleştirmek istersek aşağıdaki komutu vermemiz yeterli olacaktır.

python w3brute.py -t http://www.example.com/ --admin

Admin paneline giriş için bir brute force saldırısı gerçekleştirmek istersekde şu komut yeterli olacaktır.

python w3brute.py -t http://www.example.com/ --admin -u admin -sP 20000 

Uygulamayı test ederek birçok özelliğini öğrenebilirsiniz genel olarak kullanımı bu şekildedir fakat bu tarz uygulamaların asıl amaçları başkalarının sitelerini ele geçirmek değil sadece kendi sitenizin güvenliğini sağlamak yada penetrasyon testlerinde kullanmaktır kötü amaçlı bir şekilde kullanmak yerine bu uygulama ile güvenliği nasıl sağlarım diye düşünerek hareket etmek herkes için çok daha iyi bir seçim olacaktır.