¶ Nedir?
Bu dökümantasyon üzerinde web sitelerimize zafiyet testi yapacağız. Owasp ile belirlediğimiz bir web sitesindeki tüm dizinleri aktif olarak tarayabilir ve her dizin başına zafiyetleri tespit edebiliriz.
OWASP ZAP, açık kaynaklı bir web uygulaması güvenlik tarayıcısıdır. Hem uygulama güvenliğine yeni başlayanlar hem de profesyonel sızma testi uzmanları tarafından kullanılması amaçlanmıştır. En aktif Açık Web Uygulama Güvenliği Projesi projelerinden biridir ve Amiral Gemisi statüsü verilmiştir.
¶ Owasp Zap Kurulumu
Bu dökümantasyon üzerinde owasp zap'ı bir MacOS üzerine kuracağım. Ancak sizler Windows üzerine kurup aynı şekilde kullanabilirsiniz. Öncelikle buradaki linkten owasp zap'ı kendimiz için uygun olanı indiriyoruz.
- Ben burada bana MacOS installer uygun olduğu için macOS için olan paketi indiriyorum.
MacOS üzerinde DMG dosyası olarak bir dosya indiğini görebilirsiniz. Bu DMG dosyasına tıklayın.
Ardından aşağıdaki gibi bir ekran gelecektir, burada OWASP ZAP adlı uygulamayı sürükleyerek Applications dizinine atın.
Ardından masaüstünüze giderek aşağıdaki işlemi yaparak mount edilmiş DMG dosyasını çıkarın.
- Böylelikle kurulum başarılı bir şekilde sağlanmış olacaktır.
Ardından Owasp Zap'ı açtığınızda aşağıdaki gibi bir yüklenme ekranı ile karşılaşacaksınız.
Ardından aşağıdaki gibi bir ekranla karşılaşacaksınız burada direkt olarak mevcut değerle devam edin.
Ardından Owasp Zap'ın başarıyla açılmış olduğunu göreceksiniz.
¶ Owasp Zap İle Zafiyet Testi
Yeni başlayan bir kullanıcı olarak ilgilenmeniz gereken kısım otomatik tarama kısmıdır.
Burada site ismini girmemiz yeterli olmaktadır.
Ek olarak sol üst taraftan kendimize uygun bir mod seçiyoruz. Ben daha detaylı ve daha agrasif tarama için saldırı modunu kullanıyorum.
- Ardından saldırı butonuyla zafiyet testinizi başlatabilirsiniz.
Bu noktada zafiyet testi yaptığınız sunucudan kendi public IP nize izin vermeniz gerekebilir. Saldırı modunda sunucuda eğer firewall yapılandırması bulunuyorsa sunucu tarafından engellenmeniz muhtemeldir.
Ardından sol taraftan siteye ait dizinleri ve fotoğrafları görebilirsiniz. Eğer sitede dışarıya açıp bir link, bir dosya veya önemli bir belge vs bulunuyor ise tespit edebilirsiniz.
Ek olarak Uyarılar kısmına gelerek sol alt tarafta gördüğünüz gibi siteye dair önemli çıktıları alabilirsiniz. Bu test dahilinde yüksek veya orta seviyede bir zafiyet ile karşılaşılmadı.
¶ Zafiyet Raporunun Çıkarılması
Zafiyet ile ilgili tüm rapor çıktılarını almak için MacOS üzerindeyken rapor seçeneği altından generate raport seçeneğine tıklamalısınız.
Çıkan ekranda rapor başlığını rapor dosyasının adını ve detaylarını girebilirsiniz.
Template kısmına gelerek rapor çıktısını farklı seçenekler ile özelleştirebilirsiniz. Harici hiçbir dosya olmadan tek bir dosya içerisinde net bir şekilde zafiyet raporu çıkarabileceğiniz template için aşağıdakini kullanabilirsiniz.
Rapor aşağıdaki gibi olacaktır. Bu zafiyet testinde orta veya yüksek dereceli hiçbir zafiyete rastlanılmamıştır.
