Merhaba arkadaşlar aslında önemsiz gibi görünen fakat web güvenliğinde en büyük öneme sahip olan durumlardan biriside WAF'dır. WAF dediğimiz şeyygulamarına yönelik olan saldırıları korumak üzere özel bir şekilde önlem sağlayan sistemdir. Şimdi ise bir sistemde WAF koruması olup olmadığını nasıl anlayacağımızı sağlayan bir araç ile geldim. Aracımızın adı "wafw00f". Kali linux'ta otomatik olarak bulunmakta. Farklı bir linux sürümü kullanıyorsanız:
komutunu kullanarak indirebilirsiniz.
Aracın kullanımı oldukça basit fakat yinede resimli anlatım göstereceğim. WAF'lı ve WAF'sız sitelerde göstererek 2'sinde de nasıl sonuç elde ettiğimize bakacağız.
1) Öncelikle terminali açıyoruz ve "wafw00f" yazıp "enter" diyoruz. Ve aracımız karşımıza geliyor.
2) Ardından WAF kontrolü yapmak istediğimiz siteyi seçiyoruz ben random bir site seçeceğim ve site adresini gizleyeceğim. Terminale "wafw00f www.hedefsite.com" yazıyorum.
Ve hedef sitede WAF tespit edilmediğini görüyoruz. Şimdi ise başka bir sitede deniyorum.
3) Tekrardan terminale "wafw00f www.hedefsite2.com" şeklinde hedefimi giriyorum.
Gördüğünüz gibi WAF koruması bulundu. Evet arkadaşlar WAF tespitini bu şekilde yapabilirsiniz.
Kod:
[COLOR=DarkOrange][COLOR=White]git clone https://github.com/EnableSecurity/wafw00f[/COLOR][/COLOR]
Aracın kullanımı oldukça basit fakat yinede resimli anlatım göstereceğim. WAF'lı ve WAF'sız sitelerde göstererek 2'sinde de nasıl sonuç elde ettiğimize bakacağız.
1) Öncelikle terminali açıyoruz ve "wafw00f" yazıp "enter" diyoruz. Ve aracımız karşımıza geliyor.
2) Ardından WAF kontrolü yapmak istediğimiz siteyi seçiyoruz ben random bir site seçeceğim ve site adresini gizleyeceğim. Terminale "wafw00f www.hedefsite.com" yazıyorum.
Ve hedef sitede WAF tespit edilmediğini görüyoruz. Şimdi ise başka bir sitede deniyorum.
3) Tekrardan terminale "wafw00f www.hedefsite2.com" şeklinde hedefimi giriyorum.
Gördüğünüz gibi WAF koruması bulundu. Evet arkadaşlar WAF tespitini bu şekilde yapabilirsiniz.
~~YouAndLife~~
Moderatör tarafında düzenlendi: