Web sitelerinin çoğalması ile birlikte web uygulama ve güvenlik testleri sayısı da artış göstermektedir. Web uygulamaların da ki güvenlik açıkları sayesinde saldırganlar bir çok web sitesini hacklemek de ve bilgileri sızdırmaktadır. Bazı web site sahipleri açıklar küçük çaplı ise bunları önemsemeyip kendi kullanıcılarını risk altında tutabiliyorlar. Sitelerin güvenliğini iyi bir şekilde sağlaması için pentest yapan şirketler sayesinde testler yapılarak sitelerin güvenlikleri sağlanıyor ve kullanıcıların bilgileri risk altına atılmıyor.

Web uygulama ve güvenlik testleri manuel olarak yapılmakla birlikte scannerlar sayesinde de yapılır. Bu testler için çok fazla scanner aracı Kali Linux işletim sisteminin üzerinde bulunmaktadır. Biz yazımızda Vega aracını kullanacağız.

Vega Aracı Nedir ? Ne İşe Yarar ?

Vega aracı web uygulama ve güvenlik testi yapmakta kullanılan bir araçtır. Bu araç sayesinde kolay bir şekilde web sitelerinde açıklar olup olmadığını kontrol edebilirsiniz ve kolayca açıkların önüne geçebilirsiniz. Vega aracı diğer tarama araçlarına göre daha hızlı çalışmaktadır bu Vega aracını diğer tarama araçlarından biraz daha üstün tutmaktadır. Bu araç ile kendinize özgü profiller oluşturabilirsiniz. Bu profiller ile daha kullanışlı bir tarama gerçekleştirebilirsiniz. Mesela bir sistemin asp ile kodlandığını biliyorsunuz o zaman bu sistemde LFI açığı bulmaya çalışmak vakit kaybı olur. Profiller sayesinde bunları belirtip daha verimli bir tarama gerçekleştiriyoruz. Fakat Vega aracı bazen yanlış sonuçlar verebiliyor. Açık bulunmayan bir sitede açık varmış gibi gösterebiliyor bunun içinde tarama bittikten sonra açık olup olmadığını manuel olarak kontrol edip daha verimli bir sonuç alabiliriz.

Vega aracı kullanımı

Bu araç Kali Linux üzerinde kurulu olarak gelmektedir. Arama kısmına Vega yazarak aracımızı başlatabiliriz.Aracımız grafiksel bir arayüze sahip olduğu için kullanırken çok fazla zorlanmayacaksınızdır.Aracımızı çalıştırdığımız zaman sol üst taraf da kırmızı butona basarak ayarlarımızı yapmaya başlayalım çıkan ekranda taranacak sitemizin adresini yazıyoruz. Birden fazla site için tarama yapmak isterseniz alttaki seçeneği işaretleyip daha fazla adres ekleyebilirsiniz. Fakat çok fazla adres yazmanız programın donmasına ve yavaşlamasına yol açacaktır.

İleri dediğimiz zaman karşımızda modüllerin listesini görürüz. Bu modülleri tarama yaptığınız web sitesine göre seçmeliyiz. Bu yüzden önce web sitesi hakkında bilgi toplayalım ve sonra taramamızı gerçekleştirelim ki daha verimli sonuçlar elde edelim şimdilik buraya hiç dokunmadan finish butonuna basarak taramamızı başlatalım

Sol taraf da görüldüğü üzeri High,Medium Ve İnfo olmak üzere 3 kısımda inceleniyor. Bilgileri dağınık vermektense daha düzenli vermesi bizim kolaylıkla bilgileri bulmamızı ve bilgileri bulmaya çalışırken çok fazla çaba sarf etmememizi sağlıyor. High kısmında yüksek tehlikeli açıklar mevcuttur eğer bir web sitesinde yüksek düzeyde çok fazla açık varsa bunu hemen bildirmeli ve kapatmalarını sağlamalısınız. Medium kısmında orta düzey İnfo kısmında ise bilgilendirmeler mevcuttur.

Açıkların üstüne tıklayarak açıklar hakkında oldukça fazla bilgi edinebilirsiniz. Oldukça düzenli ve geniş bir şekilde rapor hazırlayan bu aracı düzgün kullandığımız zaman oldukça işe yarar bilgiler ve açıklar elde edebiliyoruz.

Bu aracın bir diğer özelliği de Website View kısmından klasör ve dosyalarını listeleyebilir bu dosyalar düzgün şekilde gizlenmemiş ise çok fazla yararlı dosya bulunabilirsiniz. Yaptığımız bu Crawler işlemi sızma testlerinde çok önemli bir işlemdir.

Manuel olarak tarama yapmak her zaman daha garanti ve güvenilir bir işlemdir fakat çok yavaş sonuçlar elde ettiğimiz için araçlar kullanmak daha hızlı ve parametreleri sayesinde daha derin sonuçlar verebilir. Bu yüzden Vega gibi hızlı işlem yapan araçlar kullanarak bulduğumuz sonuçları manuel olarak denememiz bize hem zaman kazandıracaktır hemde bulduğumuz açıkların kesinlikle doğruluğundan emin olmamızı sağlayacaktır.