Web Sızma Testi Aracı OWASP ZAP

Merhaba, bu yazımda sizlere OWASP Firmasının yapmış olduğu Web Sızma testi aracı olan ZAP kurulumundan ve OWASP ZAP ile web sitelerinde nasıl zafiyet tespiti yapıldığı hakkında bahsedeceğim.

Öncelikle OWASP ZAP Nedir? Kısaca bahsetmek gerekirse OWASP ZAP (Open Web Application Security Project Zed Attack Proxy), açık kaynaklı ve ücretsiz bir güvenlik aracıdır. Web uygulamalarının güvenlik açıklarını tespit ve test etmek için kullanılan bir proxy sunucusudur.

Çeşitli saldırı vektörlerini simüle edebilir, güvenlik açıklarını taramak için farklı teknikler kullanabilir ve sonuçları ayrıntılı bir şekilde raporlayabilir. XSS (Cross-Site Scripting), SQL enjeksiyonu, CSRF (Cross-Site Request Forgery), oturum yönetimi güvenliği gibi yaygın güvenlik açıkları üzerinde odaklanır.

Bu araç, sizlere sızma testi işlemlerinde otomatik veya manuel olarak işleminizi gerçekleştirmeye yarıyor. Aracın hem otomatik hem manuel kısmı bulunmaktadır, Aracın Türkçe dil desteği olması ayrı bir güzellik.

İlk adımımız OWASP ZAP’i kurmak olacak.

Kali linux’un çoğu sürümünde bu araç hazır geliyor ancak olmayan sürümleri bulunduğundan kali linux’da da nasıl kurulduğunu anlatacağım.

OWASP ZAP Resmi indirme Adresimiz: https://www.zaproxy.org/download /

Biz Kali Linux işletim sisteminde terminal üzerinde kurulumumuzu yapacağız.
Kali’nin kendi kütüphanesinden yükleme yapabiliriz. Terminal ekranımıza 

apt-get install zaproxy 

yazarak kurulumumuzu yapıyoruz,

Daha sonra terminal ekranımıza zaproxy yazarak uygulamamızı açıyoruz. Ubuntu’da bu komut ile inmezse download sayfasından linux sürümünü indirip yine terminal üzerinden

chmod 777 ZAP_2_15_0_unix.sh 
./ZAP_2_15_0_unix.sh 

çalıştırırsanız zaproxy aracımız çalışacaktır.

Uygulamayı çalıştırdığımızda karşımıza böyle bir ekran geldi. Eğer bu araç üzerinde daha önce bir tarama işlemi yaptıysanız ya da daha önce bir işlem gerçekleştirdiyseniz kaldığınız yerden devam etmek için Evet seçeneğini, fakat sıfırdan başlayıp yeni bir tarama yapacaksanız Hayır seçeneğini seçip Başlangıç butonuna tıklamamız gerekiyor. Biz hayır seçeneğini tıklayıp sıfırdan bir tarama başlatacağız.

Aracımız açıldı.

Araç hakkında kısaca bahsetmek gerekirse

Sol Kısımda bulunan İçerikler ve Siteler diye iki kısım bulunmakta burada tarama yaptığımız sitenin içeriğini gösteriyor sitede bulunan sayfalar dosyalar vs bulunmakta.

Alt kısımda Geçmiş, Arama, Uyarılar ve Çıktı şeklinde bölüm var.

Geçmiş :Bu bölümde geçmiş istekler, yanıtlar ve diğer ilgili bilgiler bulunur. Tekrar oynatma, inceleme veya analiz etme imkanı sunar.

Arama : Belirli bir URL, parametre veya belirli bir kelimeye ilişkin geçmiş verileri arayabilirsiniz.

Uyarılar : Tespit edilen güvenlik açıkları ve uyarıları içerir. OWASP ZAP, taranan web sitelerindeki potansiyel güvenlik zafiyetlerini bulduğunda, bu bölümde uyarılar olarak listelenir. Uyarılar, güvenlik açığı türüne, önem seviyesine ve diğer ilgili bilgilere göre sınıflandırılır. Buradan uyarıları inceleyebilir, ayrıntılı bilgilere erişebilir ve gerekli önlemleri alabiliriz.

Çıktı : bu bölümde tarayıcı sonuçları, raporlar ve diğer çıktılar bulunur. Çıktıları farklı formatlarda kaydedebilir, paylaşabilir veya dışa aktarabiliriz. OWASP ZAP, HTML, XML, JSON gibi farklı çıktı formatlarını destekler.

Otomotik Tarama (Automed Scan): Bu özellik, seçili bir web sitesini tarayarak potansiyel güvenlik açıklarını otomatik olarak tespit eder.


Manuel Tarama (Manuel Explore): Bu özellik, kullanıcılara web uygulamalarını daha derinlemesine inceleme ve güvenlik testleri yapma imkanı verir. Hedef web sitesini manuel olarak gezinebilir, formları doldurabilir, istekleri değiştirebilir ve özel test senaryolarını gerçekleştirebiliriz.

Biz otomatik tarama yapacağız.

Ben burda zaafiyetli bir makina olan WebforPentester makinama bir saldırı yapacağım.

Url to Attack : saldırı yapılacak sayfanın url veya ip girmemiz gerekiyor.

Use traditional spider : AJAX Spider, web uygulamasında AJAX isteklerini tespit etmek ve dinamik içeriği tarayarak gizli veya erişilemeyen alanları keşfetmek için kullanılır. Bu, AJAX teknolojilerini kullanan web uygulamalarının güvenlik açıklarını daha kapsamlı bir şekilde değerlendirmenize yardımcı olur.

Saldırı tuşuna bastıktan sonra ZAP sayfaya istekler yollayıp sayfayı taramaya başlar.

Taramamız yaklaşık 5dk kadar sürdü ve Uyarılar kısmında başlıklar olarak bayrak(flag) renklerine göre çıktılarımızı verdi.

Şimdi webforpentester makinamız zaten oldukca zaafiyetli bir makina olduğu için baya çıktı verdi burda bize .

Kırmızı Bayrak renkli bayrağa sahip olanlar yüksek risk seviye zaafiyetler (Eğer tarama sonuçlarında bu bayrak seviyesi çıkarsa detaylı olarak vakit kaybetmeden mutlaka incelenmelidir yoksa çok ciddi sorunlara yol açabilir. saldırganların uygulamaya tam erişim elde edebileceğini gösterir. Örneğin, Remote Code Execution (Uzaktan Kod Çalıştırma), Veritabanı Sızıntısı veya Önbellek Zehirlenmesi gibi.)

Turuncu Bayrak renkli bayraklar orta seviye risk grubunda

Sarı Bayrak renkli bayraklar düşük risk grubunda zaafiyetler

Mavi Bayrak renklerde güvenlik zaafiyeti bulunamadı anlamına gelmektedir.

Araştırma sonucu ortaya çıkan maddelerin üzerine tıkladığınızda açılan bölmede sorunun hakkında şu bilgiler verilir: 

  • Bulunan sorunun hangi kategoride olduğunu 
  • Sorunu nerede gördüğünü (IP adresi) 
  • Risk grubunu 
  • Saldırı ile ilgili kısa bilgi 
  • Çözüm önerisi 

Manuel Tarama bölümünü kendiniz inceleyebilirsiniz. Anlatacaklarım bukadardı umarım faydalı olmuştur. Başka yazıda buluşmak dileğiyle.

Paylaş :

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir