Geçmişte, birçok popüler web sitesi saldırıya uğradı. Bilgisayar korsanları artık aktif ve her zaman web sitelerini ve sızıntı verilerini kesmeye çalışıyor. Bu nedenle web uygulamalarının güvenlik testi çok önemlidir. Ve burada web uygulaması güvenlik tarayıcılarının rolü geliyor. Web Uygulaması Güvenlik Tarayıcısı, bir web uygulamasında otomatik kara kutu testi gerçekleştiren ve güvenlik açıklarını tanımlayan bir yazılım programıdır. Tarayıcılar kaynak koduna erişmiyor, sadece işlevsel testler yapıyor ve güvenlik açıklarını bulmaya çalışıyorlar.

Çeşitli ücretli ve ücretsiz web uygulaması güvenlik açığı tarayıcıları mevcuttur. Bu gönderide, en iyi ücretsiz açık kaynaklı web uygulaması güvenlik açığı tarayıcılarını listeliyoruz. Araçları rastgele sıraya ekliyorum. Öyleyse lütfen bunun bir araç sıralaması olduğunu düşünmeyin.

Sadece web uygulamalarındaki güvenlik açıklarını bulmak için kullanılabilecek açık kaynak kodlu araçlar ekliyorum. Sunucu açıklarını bulmak için araçlar eklemiyorum. Ve ücretsiz araçlar ve açık kaynak araçları ile karıştırmayın. Çünkü ücretsiz olarak kullanılabilecek başka araçlar da vardır, ancak diğer geliştiricilere kaynak kodu sağlamamaktadır. Açık kaynak araçları, geliştiricilerin aracıları değiştirebilmeleri veya daha fazla geliştirmeye yardımcı olabilmeleri için kaynak kodları geliştiricilere sunanlardır.

Bunlar en iyi açık kaynaklı web uygulaması penetrasyon test araçlarıdır:

1. Grabber

Grabber, web uygulamalarındaki birçok güvenlik açığını algılayabilen güzel bir web uygulaması tarayıcısıdır. Tarama yapar ve güvenlik açığının bulunduğu yeri belirtir. Aşağıdaki güvenlik açıklarını algılayabilir:

  • Siteler arası komut dosyası oluşturma
  • SQL enjeksiyonu
  • Ajax testi
  • Dosya eklenmesi
  • JS kaynak kodu analizörü
  • Yedek dosya kontrolü

Diğer güvenlik tarayıcılarına kıyasla hızlı değil, ancak basit ve taşınabilir. Bu sadece küçük web uygulamalarını test etmek için kullanılmalıdır çünkü büyük uygulamaları taramak için çok zaman harcar.

Bu araç herhangi bir GUI arayüzü sunmuyor. Ayrıca herhangi bir PDF raporu oluşturamaz. Bu araç, basit ve kişisel kullanım için tasarlanmıştır. Bu aracı sadece kişisel kullanım için deneyebilirsiniz. Profesyonel kullanım için düşünüyorsanız, asla tavsiye etmem.

Bu araç Python’da geliştirildi. İsterseniz bir yürütülebilir sürümü de mevcuttur. Kaynak kodu mevcut, böylece ihtiyaçlarınıza göre değiştirebilirsiniz. Ana betik, bir keresinde yürütüldüğü zaman sql.py, xss.py veya diğerleri gibi diğer modülleri çağırır grabber.py.

Buradan indirin: http://rgaucher.info/beta/grabber/

Github’taki kaynak kodu: https://github.com/neuroo/grabber

2. Vega

Vega, başka bir ücretsiz açık kaynak kodlu web güvenlik açığı tarayıcı ve test platformudur. Bu araçla, bir web uygulamasının güvenlik testini gerçekleştirebilirsiniz. Bu araç Java’da yazılmıştır ve GUI tabanlı bir ortam sunar. OS X, Linux ve Windows için kullanılabilir.

SQL enjeksiyonu, başlık enjeksiyonu, dizin listesi, kabuk enjeksiyonu, çapraz site komut dosyası, dosya eklenmesi ve diğer web uygulama açıklarını bulmak için kullanılabilir. Bu araç, JavaScript’te yazılmış güçlü bir API kullanılarak da genişletilebilir.

Araçla çalışırken, toplam yol sayımı sayısı, düğümün alt yollarının sayısı, derinlik ve saniyedeki maksimum istek sayısı gibi birkaç tercih belirlemenizi sağlar. Vega Scanner, Vega Proxy, Proxy Scanner ve ayrıca Scanner ile kimlik bilgilerini kullanabilirsiniz. Yardıma ihtiyacınız varsa, dökümantasyon bölümünde kaynakları bulabilirsiniz:

Belgeler: https://subgraph.com/vega/documentation/index.en.html

Vega’yı indirin: https://subgraph.com/vega/

ETİK HACKİNG EĞİTİMİ

3. Zed Attack Proxy

Zed Attack Proxy ayrıca ZAP olarak bilinir. Bu araç açık kaynaklıdır ve AWASP tarafından geliştirilmiştir. Windows, Unix / Linux ve Macintosh platformları için kullanılabilir. Ben şahsen bu aracı seviyorum. Web uygulamalarında çok çeşitli güvenlik açıklarını bulmak için kullanılabilir. Araç çok basit ve kullanımı kolaydır. Penetrasyon testinde yeniyseniz bile, web uygulamalarının penetrasyon testini öğrenmeye başlamak için bu aracı kolayca kullanabilirsiniz.

Bunlar ZAP’nin temel işlevleri:

  • Proxy’yi Kesiştirme
  • Otomatik Tarayıcı
  • Geleneksel ama güçlü örümcekler
  • fuzzer
  • Web Soketi Desteği
  • Plug-n-hack desteği
  • Kimlik doğrulama desteği
  • REST tabanlı API
  • Dinamik SSL sertifikaları
  • Akıllı Kart ve Müşteri Dijital Sertifikaları desteği

Bu aracı, taramayı gerçekleştirmek için URL’yi girerek tarayıcı olarak kullanabilir veya bu aracı, belirli sayfalarda testleri manuel olarak gerçekleştirmek için araya giren bir proxy olarak kullanabilirsiniz.

ZAP indir:  https://github.com/zaproxy/zaproxy

4. Wapiti

Wapiti, web uygulamalarınızın güvenliğini denetlemenizi sağlayan güzel bir web güvenlik açığı tarayıcısıdır. Web sayfalarını tarayarak ve veri enjekte ederek kara kutu testi gerçekleştirir. Yük yüklerini enjekte etmeye ve bir betiğin savunmasız olup olmadığına bakmaya çalışır. Hem GET hem de POSTHTTP saldırılarını destekler ve birden çok güvenlik açığını algılar.

Aşağıdaki güvenlik açıklarını algılayabilir:

  • Dosya Açıklaması
  • Dosya eklenmesi
  • Çapraz Site Komut Dosyası (XSS)
  • Komut yürütme algılama
  • CRLF Enjeksiyonu
  • SEL Enjeksiyon ve Xpath Enjeksiyonu
  • Zayıf .htaccess yapılandırması
  • Yedekleme dosyaları açıklaması
  • ve diğer birçok

Wapiti bir komut satırı uygulamasıdır. Yani, yeni başlayanlar için kolay olmayabilir. Ancak uzmanlar için iyi performans gösterecek. Bu aracı kullanmak için resmi belgelerde bulunabilecek birçok komutu öğrenmeniz gerekir.

Wapiti’yi kaynak kodu ile indirin: http://wapiti.sourceforge.net/

5. W3af

W3af popüler bir web uygulaması saldırı ve denetim çerçevesidir. Bu çerçeve daha iyi bir web uygulama penetrasyon test platformu sunmayı amaçlamaktadır. Python kullanılarak geliştirilmiştir. Bu aracı kullanarak, SQL enjeksiyonu, Siteler Arası Komut Dosyası ve diğerleri gibi 200’den fazla web uygulaması güvenlik açığını tanımlayabilirsiniz.

Bir grafik ve konsol arayüzü ile geliyor. Anlaması kolay arayüzü ile kolayca kullanabilirsiniz.

Bunu Grafik Arayüz ile kullanıyorsanız, aletle ilgili herhangi bir problemle karşılaşacağınızı düşünmüyorum. Sadece seçenekleri seçmeli ve sonra tarayıcıyı başlatmalısınız. Bir web sitesinin kimlik doğrulaması gerekiyorsa, oturum korumalı sayfaları taramak için kimlik doğrulama modülleri de kullanabilirsiniz.

Bu aracı, önceki W3af serimizdeki serilerimizde ayrıntılı olarak ele aldık. Bu araç hakkında daha fazla bilgi için bu makaleleri okuyabilirsiniz.

Github deposunda kaynak koduna erişebilirsiniz: https://github.com/andresriancho/w3af/

Resmi web sitesinden indirin: http://w3af.org/

6. WebScarab

WebScarab, HTTP veya HTTPS protokolünü kullanarak web uygulamalarını analiz etmek için Java tabanlı bir güvenlik çerçevesidir. Mevcut eklentilerle, aracın işlevselliğini artırabilirsiniz. Bu araç, bir yakalama proxy’si olarak çalışır. Böylece, tarayıcınıza gelen istek ve yanıtı inceleyebilir ve sunucuya gidebilirsin. Sunucu veya tarayıcı tarafından alınmadan önce isteği veya yanıtı da değiştirebilirsiniz.

Eğer yeni başlayan iseniz, bu araç sizin için uygun değildir. Bu araç, HTTP protokolünü iyi anlayan ve kod yazabilenler için tasarlanmıştır.

Webscarab, penetrasyon test cihazlarının bir web uygulamasında yakından çalışmasına ve güvenlik açıklarını bulmasına yardımcı olan birçok özellik sunar. Hedef web sitesinin otomatik olarak yeni URL’lerini bulabilen bir örümcek var. Sayfanın komut dosyalarını ve HTML’lerini kolayca çıkarabilir. Proxy, sunucu ile tarayıcınız arasındaki trafiği gözlemler ve mevcut eklentileri kullanarak isteğin ve yanıtın kontrolünü elinize alabilir. Kullanılabilir modüller, SQL enjeksiyonu, XSS <CRLF ve diğer birçok güvenlik açığı gibi en yaygın güvenlik açıklarını kolayca tespit edebilir.

Aracın kaynak kodu Github’da kullanılabilir: https://github.com/OWASP/OWASP-WebScarab

WebScarab dosyasını buradan indirin: https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

7. Skipfish

Skipfish ayrıca güzel bir web uygulaması güvenlik aracıdır. Web sitesini tarar ve ardından her sayfayı çeşitli güvenlik tehditleri için kontrol eder ve sonunda nihai raporu hazırlar. Bu araç C dilinde yazılmıştır. HTTP kullanımı ve minimum CPU kullanımı için son derece optimize edilmiştir. CPU’ya bir yük eklemeden saniyedeki 2000 istekleri kolayca işleyebildiğini iddia ediyor. Web sayfalarını tararken ve test ederken bir sezgisel yaklaşım kullanır. Bu araç aynı zamanda yüksek kalite ve daha az yanlış pozitifler sunmayı iddia ediyor.

Bu araç Linux, FreeBSD, MacOS X ve Windows için kullanılabilir.

Skipfish’i indirin veya kodu google kodları: http://code.google.com/p/skipfish/

8. Ratproxy

Ratproxy ayrıca web uygulamalarındaki güvenlik açıklarını bulmak için kullanılabilecek açık kaynaklı bir web uygulaması güvenlik denetim aracıdır. Linux, FreeBSD, MacOS X ve Windows (Cygwin) ortamlarını destekler.

Bu araç, kullanıcıların güvenlik denetimleri için diğer proxy araçlarını kullanırken karşılaştıkları sorunların üstesinden gelmek için tasarlanmıştır. CSS stil sayfaları ve JavaScript kodları arasında ayrım yapabilir. Aynı zamanda SSL saldırısını ortadaki saldırıda destekler, yani SSL üzerinden geçen verileri de görebilirsiniz. Bu araç hakkında daha fazla bilgiyi buradan edinebilirsiniz: http://code.google.com/p/ratproxy/wiki/RatproxyDoc

Http://code.google.com/p/ratproxy/ adresini indirin

9. SQLMap

SQLMap başka bir popüler açık kaynak penetrasyon test aracıdır. Bir web sitesinin veritabanında SQL Injection güvenlik açığını bulma ve kullanma sürecini otomatikleştirir. Güçlü bir algılama motoruna ve birçok kullanışlı özelliğe sahiptir. Yani, bir penetrasyon test cihazı bir web sitesinde SQL enjeksiyon kontrolünü kolayca gerçekleştirebilir.

MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase ve SAP MaxDB gibi veritabanı sunucularını destekler. 6 çeşit SQL enjeksiyon tekniğine tam destek sunar: zaman tabanlı kör, boole tabanlı kör, hata tabanlı, UNION sorgusu, yığılmış sorgular ve bant dışı.

Github deposunda kaynak koduna erişin: https://github.com/sqlmapproject/sqlmap

SQLMap’i buradan indirin: https://github.com/sqlmapproject/sqlmap

10. Wfuzz

Wfuzz, web uygulama penetrasyon testi için bir başka serbest açık kaynak kodlu bir araçtır. SQL, XSS, LDAP ve diğerleri gibi çeşitli enjeksiyon türlerine karşı test etmek için GET ve POST parametrelerini zorlamak için kullanılabilir. Ayrıca çerez fuzzing, multi-threading, SOCK, Proxy, Kimlik Doğrulama, brute zorlama, çoklu proxy ve diğer birçok şeyi destekler. Aracın özellikleri hakkında daha fazla bilgiyi buradan edinebilirsiniz: http://code.google.com/p/wfuzz/

Bu araç bir GUI arayüzü sunmuyor, bu yüzden komut satırı arayüzünde çalışmanız gerekecek.

Wfuzz’ı code.google.com adresinden indirin: http://code.google.com/p/wfuzz/

11. Grendel-Scan

Grendel-Scan, başka bir açık kaynak kodlu web uygulaması güvenlik aracıdır. Bu, web uygulamalarında güvenlik açıklarını bulmak için otomatik bir araçtır. Manuel penetrasyon testi için birçok özellik mevcuttur. Bu araç Windows, Linux ve Macintosh için kullanılabilir. Bu araç Java’da geliştirilmiştir.

Araç ve kaynak kodunu indirin: http://sourceforge.net/projects/grendel/

12. Gözcü

Watcher, pasif bir web güvenlik tarayıcısıdır. Bir sürü talep ile saldırmaz veya hedef web sitesini tarar. Bu ayrı bir araç değil, Fiddler’ın bir eklentisidir. Bu yüzden önce Fiddler’ı kurmanız ve sonra kullanmak için Watcher’ı kurmanız gerekir.

Kullanıcı-etkileşiminden gelen istek ve yanıtı sessizce analiz eder ve daha sonra uygulama hakkında bir rapor hazırlar. Pasif bir tarayıcı olduğundan, web sitesinin barındırma veya bulut altyapısını etkilemez.

İzleyiciyi ve kaynak kodunu indirin: http://websecuritytool.codeplex.com/

13. X5S

X5s ayrıca siteler arası komut dosyası güvenlik açıklarını bulmak için bir yol sağlamayı amaçlayan bir Fiddler eklentisidir. Bu otomatik bir araç değildir. Dolayısıyla, kodlama sorunlarının XSS’ye nasıl yol açabileceğini anlamanız gerekir. Enjeksiyon noktasını manuel olarak bulmanız ve ardından XSS’in uygulamada nerede olabileceğini kontrol etmeniz gerekir.

X5S’i önceki bir yazıya dahil ettik. Yani, X5S ve XSS hakkında daha fazla bilgi için bu makaleye başvurabilirsiniz.

X5S ve kaynak kodunu codeplex’ten indirin: http://xss.codeplex.com/

X5S’yi nasıl kullanacağınızı öğrenmek için bu resmi kılavuza da başvurabilirsiniz: http://xss.codeplex.com/wikipage?title=tutorial

14. Arachni

Arachni, bir sızma testi ortamı sağlamak için geliştirilmiş açık kaynaklı bir araçtır. Bu araç çeşitli web uygulama güvenlik açıklarını tespit edebilir. SQL Enjeksiyonu, XSS, Yerel Dosya eklenmesi, uzak dosya eklenmesi, geçerliliği olmayan yönlendirme ve diğerleri gibi çeşitli güvenlik açıklarını algılayabilir.

Bu aracı buradan indirin: http://www.arachni-scanner.com/

Son söz

Bunlar en iyi açık kaynaklı web uygulaması güvenlik test araçlarıdır. Çevrimiçi olarak sunulan tüm araçları listelemek için elimden geleni yaptım. Bir araç uzun yıllar boyunca güncellenmediyse, burada bahsetmedim. Çünkü bir araç 10 yaşından büyükse, yakın çevrede uyumluluk sorunları oluşturabilir. Bir geliştiriciyseniz, geliştiricilerin bu araçların topluluğuna da katılabilir ve bu araçların büyümesine yardımcı olabilirsiniz. Bu araçlara yardımcı olarak, bilgi ve uzmanlığınızı da artıracaksınız.

Eğer penetrasyon testine başlamak istiyorsanız, penetrasyon testi için oluşturulmuş Linux dağıtımlarını kullanmanızı tavsiye ederim. Bu ortamlar backtrack, gnacktrack, backbox ve blackbuntu. Tüm bu araçlar, web sitesi penetrasyon testi için çeşitli ücretsiz ve açık kaynak araçlarla gelir. Yani, bu ortamlarla gidebilirsin.

Önemli bir araçtan bahsetmeyi unuttuğumu düşünüyorsanız, bir yorum yazabilir ve eklemeye çalışacağım.