Web uygulamalarının artmasıyla birlikte güvenlik açıkları da artış göstermektedir. Saldırganlar da eskiden daha fazla sistemlere saldırmayı tercih etseler de bu yavaş yavaş değişmekte olup saldırganlar web uygulamalarında bulunan açıkları tercih etmekteler. Web uygulamalarında bulunan açıkların artması saldırganların web uygulamalarına yönelmesini ve buradan elde ettikleri bilgileri kullanarak örnek olarak bilgileri ticarete dökerek daha fazla para kazanmalarını sağlıyor. Bu yazıda Acunetix Security Scanner ile web uygulamaları üzerinde açık tarayacağız.

Acunetix Nedir ?

Acunetix web uygulamaları üzerinde açık taramamızı sağlayan bir araçtır. Bu aracın içinde enjekte edilmiş olarak bulunan açıkları kullanarak diğer siteler üzerinde taramalar gerçekleştirebilirsiniz. Sql Xss gibi bir çok açığı manuel olarak taramakla uğraşmadan bu araç sayesinde kolayca gerçekleştirebilirsiniz. Bu aracın bir diğer bir özelliği de  dizinleri göstermesidir. Aracı Buradaki linkten indirip kurabilirsiniz.

Acunetix Kullanımı

Acunetix aracını indirip kurulumunu yaptıktan sonra kullanımımıza geçebiliriz.  Acunetixin genel görünümü yukarıda ki şekildedir.Uygulama ingilizce olmaktadır fakat basit bir tarama gerçekleştireceğiniz zaman bunu çok az bir ingilizceyele de olsa anlayabilirsiniz kullanım açısından çok zor bir uygulama değildir.

Üst kısımda dosya,araç,konfigurasyon,yardım gibi kısımlar bulunmaktadır. File kısmından yeni bir tarama yapabilir yada eski taramaları yeniden taramaya sokabilirsiniz. Tools kısmında bir çok parametre bulunmaktadır burada yapacağınız saldırıya göre seçmeniz gerekmektedir. Configuration kısmında ise kendinize özel profil ayarları yapabilmektesiniz bu sayede verimli bir saldırı gerçekleştirir ve tarama yapmak istediğiniz zaafiyetleri girerek boşa zaman kaybetmemiş olursunuz.Şimdi yeni bir tarama gerçekleştirelim.

File kısmından new scan butonuna basarak yeni bir tarama oluşturabiliriz.Burada çok fazla tarama işlemi gerçekleştirebileceğimizi görüyoruz. Biz web sitesini seçiyoruz ve oraya saldırı yapacağımız web sitesini seçerek next butonuna basıyoruz.

Burada site hakkında bilgiler bulunmaktadır fakat site saldırıları engellemeye yönelik toollar kullanıyorsa bunlar otomatik olarak gelmeyecek manuel el olarak belirtmemiz gerekecektir.Bu kısımlarıda doldurup next butonuna basalım.

Burada tarama yapacağımız sitenin dosya ve klasörlerini bulmaya admin paneli gibi yerleri bulmaya yarar bunları kendimize ve saldırı yapacağımız siteye göre ayarlayıp next butonuna basalım.

Bu kısımda nasıl bir saldırı yapacağımızı seçiyoruz saldırı yaparken hangi profili kullanacağımızı belirtiyoruz isterseniz bi configuration kısmından bir profil oluşturabilir yada uygulamanın hazır profillerini kullanarak bir tarama gerçekleştirebilirsiniz. Burada tarama yöntemimizi belirtip next butonuna basıyoruz.

Son kısıma geldik bu kısımda bize şifreli olan alanlara tarama yapılıp yapılmayacağını soruyor burayı da isterseniz record new login sequence diyerek çıkan yerlerde next diyerek tamamlayabilirsiniz.Artık taramamızı başlatabiliriz tarama bittiği zaman aşağıdaki gibi bir çıktıyla karşılaşacaksınız.

Tarama zaafiyetleri kendine göre 4 kısımda incelemektedir

High: Web sitesinde bulunan riskli zafiyetler.

Medium: Sitede bulunan orta düzeyli zafiyetler.

Low: Sitede bulunan düşük düzeyli güvenlik zafiyetler.

Informational: Bu kategori de web sitesinde bulunan bilgilendirmeleri gösterir.

Scan results üzerinden açıkları görebilir ve açıklar hakkında bilgiler toplayabilirsiniz. Bu uygulama size manuel olarak tarama gerçekleştirmek tense tüm taramaları gerçekleştirip hızlı bir biçimde açıkları sunmaktadır. Fakat bu uygulamalanın durmadan güncellenmesi gerekmektedir. Çıkan tüm açıkların uygulamaya enjekte edilmesi için sizinde durmadan uygulamayı güncellemeniz gerekmektedir.

Bu tür uygulamalar sayesinde vakit sıkıntımızı gidersek ve manuel olarak taramayla uğraşmasak bile bazen yanlış sonuçlar verebiliyorlar bu yüzden manuel olarak açıkları tekrardan kontrol etmemiz daha iyi ve verimli sonuçlar vermektedir. Olabildiğince profil oluşturup kendinize özel taramalar belirleyerek ve deneyeceğiniz site hakkında daha ayrıntılı bilgiler ederek taramanızı daha hızlı ve güvenilir bir şekilde gerçekleştirebilirsiniz.