Vulnerability & Web Application Analysis

Vulnerability & Web Application Analysis

18 Eylül 2017 0 Yazar: Admin

Bu yazımızda Kali Linuxda hem güvenlik açığı analizi yapmamıza hemde web ugulamalarında ki, güvenlik açıklarını bulmamıza yardımcı olacak 2 tane aracı anlatacağım.Bu araçlardan 1.Vulnerability Analysis,2.Web Application Analysis .Bu araçları aşağıda geniş bir şekilde anlattım umarım faydalı olur.İyi okumalar dilerim…


VULNERABILITY ANALYSIS

Güvenlik açığı analizi ve güvenlik açığı değerlendirmesi olarak da bilinir bir bilgisayar, ağ veya iletişim altyapısında güvenlik açıklarını tanımlayan ve sınıflandıran bir işlemdir.Vulnerability Analysis bölümünde genel zaafiyet tarayıcı araçları bulunur. Bu araçlar aşağıdaki resimde görüldüğü gibi tek tek siralandırılmış ve ne işe yaradıkları hakkinda geniş bir biçimde açıklama yapılmıştır.


H1 Vulnerability-Analysis

 

Cisco Tools: Cisco sitemlerine yönelik test araçlarını barındırır.
1.cisco-auditing tool
2.cisco-global-exoloiter
3.cisco-ocs
4.cisco-torch
5.cisco-router
6.merge-router
7.yersina

Fuzzing Tools: Fuzzer testleri yapmak için kullanılan araçlar mövcuttur.
1.bed
2.ohrwurm
3.powerfuzzer
4.sfuzz
5.siparmyknife
6.spike-generic_chunked
7.spike-generic_listen_tcp
8.spike-generic_send_tcp
9.spike-generic_send_udp

Stress Testing: Bilgisayarı yük altında bırakarak sistemin dayanıklığını ve stabilitesini değerlendirebilmemiz için kullanılan araçları bulundurur.
1.dhcpig
2.iaxflood
3.inviteflood
4.siege
5.t50
6.thc-ssl-dos

VoİP Tools: Voice Over İnternet Protocol kelimelerinin baş harflerinden türetilen VoİP; telefon görüşmelerinden ses sinyallerinin internet hattı üzerinden taşınması anlamına gelir. İçinde gerekli birçok araçları barındırır.
1.enumiax
2.iaxflood
3.inviteflood
4. ohrwurm
5.protos-sip
6.rtpbreak
7.rtpflood
8.rtpinsertsound

Vulnerability Analysis bölümü görüldüğü gibi biraz dağınık bir bölüm. Ama kafanız karıştığında bu bölüme bakabilirsiniz

Web APPLICATION ANALYSIS

 Kali Linux’un en çok kullanılma nedenlerinden biri de “Web Application Penetration Test”içindir. Web uygulamalarındaki güvenlik açıklarını bulmak ve exploit etmek için kullanılan araçlar bu bölümdedir ve oldukça geniş bir kütüphaneye sahiptir. Web Application Analysis bölümünde olan araçları resimde görüldüğü gibi tek tek siralandırılmış ve ne işe yaradıkları hakkinda açıklama yapılmıştır.

H1 Web-Application-Analysis

CMS & Framewrok Identification:Hazır sistemler üzerinde “Joomla, Wp vb.” güvenlik testleri yapmak için araçlar bulundurur.
1.BlindElephant
2.clusterd
3.jboss-autopwn
4.joomscan
5.plecost
6.ua-tester
7.wpscan

Web AppLication Proxies: Web uygulama testlerinde proxy destekli ve proxy testleri yapmaya yardımcı olan yazılımlar mevcuttur.
1.burpsuite
2.paros
3.proxystrike

Web Crawlers & Directory Bruteforce: Web uygulama testlerinde Crawler özelliği barındıran araçları barındırır.
1.apache-users
2.cutycapt
3.dirb
4.dirbuster
5.uniscan-gui
6.wfuzz

Web Vulnerability Scanners: Web uygulamalarndaki güvenlik açıklarını barındırır ve çok sayıda araçları kapsar.Araçlardan bazıları aşağıda belirtilmiştir.
1.cadaver
2.clusterd
3.davtest
4.davtest
5.deblaze
6.fimap
7.golismero
8.grabber
9.nikto
10.padbuster
11.skipfish
12.xsser

Görüldüğü gibi birçok yardımcı bölüm bulunmakta. Buradaki araçlar bizlere web uygulama testleri için oldukça yardımcı olacaktır. Genel olarak çoğu aracın güzelliği açık kaynak kod olmasıdır. Bu sayede geliştiricilere de ilham kaynağı ola bilmektedir.

Daha önce de dediğim gibi bir araç bir den fazla bölümde bulunabilmektedir. Araçların birden fazla özellik taşıması güzel bir avantajdır. Bir yazılım hem “Fuzzer” özelliği hemde “Scanner” özelliği taşıyabilir. En çok “Web Application Analysis” bölümünde bu tür araçları ile karşılacağız.