DotDotpwn Aracı ile Zafiyet Tespiti

DotDotPwn, güvenlik açığı tarama aracıdır ve özellikle Directory Traversal (Dizin Geçişi) güvenlik açıklarını tespit etmek için tasarlanmıştır. Bu tür güvenlik açıkları, bir saldırganın uygulamanın kısıtlanmış dizinlerine veya dosyalarına erişmesine olanak tanıyan güvenlik zafiyetleridir.DotDotPwn, bu zafiyetleri tespit etmek için otomatize edilmiş bir dizi test gerçekleştirir. Kurulumu için;

sudo apt-get install dotdotpwn 

DotDotPwn aracında -M veya — method parametresi, HTTP ve HTTPS modülleri kullanılırken web isteklerinin türünü belirlemek için kullanılır.

-h, — host : DotDotPwn aracında -h veya — host parametresi, taramanın gerçekleştirileceği hedefin adresini belirtmek için kullanılır. Bu parametre, IP adresi veya alan adı (domain name) formunda olabilir.

dotdotpwn --host 192.168.1.1
dotdotpwn --host www.hedefsite.com 

-o, — output : DotDotPwnaracında -o veya — output parametresi, tarama sonuçlarının kaydedileceği dosyanın adını ve konumunu belirtmek için kullanılır.

dotdotpwn -m http -h www.hedefsite.com -o tarama_sonuclari.txt 

Örnek bir tarama yapalım ben burda webforpentester aracımı tarayacağım.

dotdotpwn -m http -h 10.0.2.23/dirtrav/example1?file=hacker.png

enterlayınca işlem bitince üstde çıktı bilgisini verir.

report name adında bir klasor oluşturdu ve raporu içerisine yazdı.

Ve çıktıyı çalıştırdığımızda

çıktılarda VULNERABLE yazan yerler zaafiyetli yerler oluyor. Aracın içerisindeki wordlistlerin parametrelerin kaç tanesi zaafiyetli olduğu, taramanın nekadar süre olduğu vb. Gibi bilgiler mevcut.

Faydalı olması dileğiyle.

www.eyupturan.com

Paylaş :

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir