Web Pentesting Nedir ve Hangi Araçlar Kullanılır

ancients123

ancients123

Uzman üye
9 Nis 2016
1,722
338
db96c6ff39a9646f27106e3397507b46.jpeg

Merhaba arkadaşlar bugün size web pentesting nedir ve web pentesting yapılırken kullanılan bazı araçlardan bahsedicem
İyi Okumalar


1e189c8513d4472d3e752086793d24a4.jpeg




Web Pentesting Nedir


Web pentesting, web uygulamalarının güvenlik açıklarını tespit etmek ve bu açıkları kapatmak için yapılan bir güvenlik testidir. Bir web sitesi veya uygulaması, potansiyel saldırganların erişebileceği açıklara sahip olabilir ve bu açıkların istismar edilmesi sonucunda sızma, veri hırsızlığı veya hizmet kesintisi gibi güvenlik sorunları ortaya çıkabilir.

Web pentesting genellikle aşağıdaki adımlardan oluşur

9c617c411166b1193f734f17c518261f.jpeg

Hedef Belirleme

Pentester, test edilecek hedefi belirler. Bu, bir web sitesi, web uygulaması veya ağ alt yapısı olabilir.

Bilgi Toplama

Pentester, hedef hakkında mümkün olduğunca fazla bilgi toplar. Bu bilgiler genellikle whois araştırması, DNS taraması, IP keşfi, port taraması gibi tekniklerle elde edilir.

Zafiyet Analizi

Hedefin güvenlik açıklarını tespit etmek için çeşitli teknikler kullanılır. Bu aşamada, pentester, hedefin sızma noktalarını tarayarak potansiyel zafiyetleri ortaya çıkarır.

Saldırı Yapılandırması

Pentester, tespit edilen zafiyetleri kullanarak saldırı senaryoları ve kullanılacak araçları belirler.

Saldırı Denemesi

Pentester, tespit edilen zafiyetleri istismar etmeye çalışır ve hedef sistem üzerinde farklı saldırılar gerçekleştirir.

Sonuç Değerlendirmesi

Saldırı sürecinin sonunda güvenlik açıklarının ciddiyeti ve olası etkileri değerlendirilir. Bu değerlendirme raporu, zafiyetlerin nasıl kapatılacağına dair öneriler içerir.

69e523ad580d88aed0794e901267b133.jpeg

Web Pentesting için kullanılan bazı

yaygın araçlar şunlardır


Burp Suite

Web uygulama testleri için popüler bir araçtır. HTTP trafik analizi, zafiyet taraması ve web uygulamaları için saldırı senaryoları oluşturma gibi özellikleri vardır.
d9bd53e33bbd93ab3c984b14267d967f.jpeg

OWASP ZAP (Zed Attack Proxy)

ZAP, arayüzüyle kullanımı kolay, açık kaynaklı bir güvenlik aracıdır. Web uygulamalarını aktif/manuel şekilde tarar ve bulduğu zafiyetleri raporlar.
704d731a1967c8aefae681e52c459053.png

Nikto

Bu basit ve hızlı araç, web sunucusu ve web uygulamaları üzerindeki yaygın güvenlik açıklarını taramak için kullanılır. CVE veritabanını kullanarak zafiyetler hakkında bilgi sağlar.
bda486a49506c9a8f8d8f2bd72012f7d.png

Nessus

Bu güvenlik tarama aracı, ağı ve web uygulamalarını otomatik olarak tarar ve tespit edilen zafiyetleri raporlar.
ee1d75c119fcbaaa2976ef57bbabdecb.png

Nmap

Ağ keşfi ve hedef tarama için kullanılan popüler bir araçtır
38ce2c1301f488e5e994c79974bb3cfe.png

Metasploit Framework

En çok kullanılan açık kaynaklı penetrasyon testi araçlarından biridir. Kötü niyetli saldırıları simüle edebilir ve web uygulamaları üzerinde güvenlik açıkları tespit edebilir. Birçok hazır saldırı modülüne sahiptir ve ayrıca kullanıcılar kendi saldırı modüllerini de oluşturabilirler.
58ac09b2b00367f55ef475a67b0f50e9.jpeg

Skipfish

Web uygulamalarını tarayarak potansiyel güvenlik açıklarını tespit eden bir başka açık kaynaklı tarama aracıdır. Zafiyet taraması, hızlı tarama ve düşük yanlış pozitif skoru gibi özelliklere sahiptir.
01c5897495bafa0a0cbceaf2e6f17b4e.jpeg

Dirb

Belirli bir web sitesinde gizli veya gizli kalmış dizinleri tespit etmek için kullanılan basit bir dizin tarama aracıdır. Dizin İndekslenebilirlik, Dosya İndexleme ve Genel Gizlilik Taraması gibi özel tarama seçeneklerine sahiptir.
6ece9efce73812474eeb9e56460a3c83.png

DirBuster

Web sunucusundaki gizli veya korumalı dizinleri taramak için kullanılan bir araçtır. Brute force saldırılarıyla dizinleri keşfeder.
220c1c24322b61e135d45714528aa825.jpeg

SQLMap

Veritabanı güvenliği hakkında bilgi toplamak ve SQL Injection saldırıları gerçekleştirmek için kullanılır. SQL Injection saldırıları ile güvenlik açıkları tespit edilebilir ve potansiyel veri sızdırmalarını önlemek için gerekli önlemler alınabilir.
b3ae70df53b5486b1e04f87ec88c7d23.png

XSStrike

XSS güvenlik açıklarını test etmek için kullanılan açık kaynaklı bir araçtır. Web uygulamalarındaki XSS açıklarını tespit etmek ve kullanıcı girişlerini otomatik olarak analiz
cbb50b4a977bf6645fb138d47a5541af.png

Arachni

Web uygulamalarını tarayarak güvenlik açıklarını tespit etmek için kullanılan açık kaynaklı bir araçtır. XSS, SQL enjeksiyon, kaba kuvvet saldırıları gibi güvenlik açıklarını tarar.
7510c237f67f5016ac5a19c88b17333a.png

Wfuzz

Web uygulamalarını zorlamanın ve keşfetmenin yanı sıra ağ tabanlı saldırılar gerçekleştirebilen açık kaynaklı bir araçtır.
f2d346c2c443a7dd715d2d305d20a48e.png

Hydra

Kaba kuvvet saldırıları için kullanılan bir araçtır. Popüler protokoller üzerinde tarar ve kullanıcı adları/şifreleri bulmak için kullanılır.
3d203e3c307e1b6905bc72cb9379bfef.jpeg

Acunetix

Bir web uygulama güvenlik tarayıcısıdır. Güvenlik açıklarını tespit etmek ve saldırılara karşı korumak için kullanılır.
0a69a3f77d08d0bb36391fa30cb2f307.png

Vega

Web uygulama güvenlik testi için bir tarayıcı ve test platformudur. XSS, SQL enjeksiyon, güvenlik açıkları gibi konuları test eder.
ae9109b6746cc71c7c957f16196dbeb9.png

WPScan

WordPress tabanlı web sitelerinin güvenlik açıklarını tespit etmek için kullanılan bir araçtır. WordPress tabanlı saldırılar, güvenlik açıkları ve zayıf noktaları tarar.
3324cd38e52b0f4e4b8b977d81072a16.png

W3af

Web uygulamalarının taban hatalarını tespit etmek için kullanılan bir açık kaynaklı araçtır. Güvenlik açıklarını tarar ve raporlar üretir.
6f862ac78dfa110127988625df77357e.png

BeEF

Web tarayıcılarındaki güvenlik açıklarını test etmek için kullanılan açık kaynaklı bir araçtır. Tarayıcı tabanlı güvenlik açıklarını tespit etme ve kötü amaçlı komut dosyaları gönderme yeteneğine sahiptir.
3c26f3e68b8aa4fefcd0c9f8ef3e8e0e.jpeg

Netsparker

Web uygulamalarının güvenlik açıklarını tespit etmek için kullanılan bir tarayıcıdır. XSS, SQL enjeksiyon ve diğer yaygın güvenlik açıklarını tarar.
0ddc73c83d77526329bf24f203f55082.png
 
EX

EX

Deneyimli Moderatör
29 Mar 2020
2,027
1,348
Emeğine sağlık, özet bir bilgilendirici konu olmuş.. Bir iki aracı ele almanı öneririm :)
 
V3YS0Z

V3YS0Z

Deneyimli Moderatör
3 Şub 2015
2,498
661
Türkiye Cumhuriyeti
ancients123' Alıntı:
db96c6ff39a9646f27106e3397507b46.jpeg

Merhaba arkadaşlar bugün size web pentesting nedir ve web pentesting yapılırken kullanılan bazı araçlardan bahsedicem
İyi Okumalar


1e189c8513d4472d3e752086793d24a4.jpeg




Web Pentesting Nedir


Web pentesting, web uygulamalarının güvenlik açıklarını tespit etmek ve bu açıkları kapatmak için yapılan bir güvenlik testidir. Bir web sitesi veya uygulaması, potansiyel saldırganların erişebileceği açıklara sahip olabilir ve bu açıkların istismar edilmesi sonucunda sızma, veri hırsızlığı veya hizmet kesintisi gibi güvenlik sorunları ortaya çıkabilir.

Web pentesting genellikle aşağıdaki adımlardan oluşur

9c617c411166b1193f734f17c518261f.jpeg

Hedef Belirleme

Pentester, test edilecek hedefi belirler. Bu, bir web sitesi, web uygulaması veya ağ alt yapısı olabilir.

Bilgi Toplama

Pentester, hedef hakkında mümkün olduğunca fazla bilgi toplar. Bu bilgiler genellikle whois araştırması, DNS taraması, IP keşfi, port taraması gibi tekniklerle elde edilir.

Zafiyet Analizi

Hedefin güvenlik açıklarını tespit etmek için çeşitli teknikler kullanılır. Bu aşamada, pentester, hedefin sızma noktalarını tarayarak potansiyel zafiyetleri ortaya çıkarır.

Saldırı Yapılandırması

Pentester, tespit edilen zafiyetleri kullanarak saldırı senaryoları ve kullanılacak araçları belirler.

Saldırı Denemesi

Pentester, tespit edilen zafiyetleri istismar etmeye çalışır ve hedef sistem üzerinde farklı saldırılar gerçekleştirir.

Sonuç Değerlendirmesi

Saldırı sürecinin sonunda güvenlik açıklarının ciddiyeti ve olası etkileri değerlendirilir. Bu değerlendirme raporu, zafiyetlerin nasıl kapatılacağına dair öneriler içerir.

69e523ad580d88aed0794e901267b133.jpeg

Web Pentesting için kullanılan bazı

yaygın araçlar şunlardır


Burp Suite

Web uygulama testleri için popüler bir araçtır. HTTP trafik analizi, zafiyet taraması ve web uygulamaları için saldırı senaryoları oluşturma gibi özellikleri vardır.
d9bd53e33bbd93ab3c984b14267d967f.jpeg

OWASP ZAP (Zed Attack Proxy)

ZAP, arayüzüyle kullanımı kolay, açık kaynaklı bir güvenlik aracıdır. Web uygulamalarını aktif/manuel şekilde tarar ve bulduğu zafiyetleri raporlar.
704d731a1967c8aefae681e52c459053.png

Nikto

Bu basit ve hızlı araç, web sunucusu ve web uygulamaları üzerindeki yaygın güvenlik açıklarını taramak için kullanılır. CVE veritabanını kullanarak zafiyetler hakkında bilgi sağlar.
bda486a49506c9a8f8d8f2bd72012f7d.png

Nessus

Bu güvenlik tarama aracı, ağı ve web uygulamalarını otomatik olarak tarar ve tespit edilen zafiyetleri raporlar.
ee1d75c119fcbaaa2976ef57bbabdecb.png

Nmap

Ağ keşfi ve hedef tarama için kullanılan popüler bir araçtır
38ce2c1301f488e5e994c79974bb3cfe.png

Metasploit Framework

En çok kullanılan açık kaynaklı penetrasyon testi araçlarından biridir. Kötü niyetli saldırıları simüle edebilir ve web uygulamaları üzerinde güvenlik açıkları tespit edebilir. Birçok hazır saldırı modülüne sahiptir ve ayrıca kullanıcılar kendi saldırı modüllerini de oluşturabilirler.
58ac09b2b00367f55ef475a67b0f50e9.jpeg

Skipfish

Web uygulamalarını tarayarak potansiyel güvenlik açıklarını tespit eden bir başka açık kaynaklı tarama aracıdır. Zafiyet taraması, hızlı tarama ve düşük yanlış pozitif skoru gibi özelliklere sahiptir.
01c5897495bafa0a0cbceaf2e6f17b4e.jpeg

Dirb

Belirli bir web sitesinde gizli veya gizli kalmış dizinleri tespit etmek için kullanılan basit bir dizin tarama aracıdır. Dizin İndekslenebilirlik, Dosya İndexleme ve Genel Gizlilik Taraması gibi özel tarama seçeneklerine sahiptir.
6ece9efce73812474eeb9e56460a3c83.png

DirBuster

Web sunucusundaki gizli veya korumalı dizinleri taramak için kullanılan bir araçtır. Brute force saldırılarıyla dizinleri keşfeder.
220c1c24322b61e135d45714528aa825.jpeg

SQLMap

Veritabanı güvenliği hakkında bilgi toplamak ve SQL Injection saldırıları gerçekleştirmek için kullanılır. SQL Injection saldırıları ile güvenlik açıkları tespit edilebilir ve potansiyel veri sızdırmalarını önlemek için gerekli önlemler alınabilir.
b3ae70df53b5486b1e04f87ec88c7d23.png

XSStrike

XSS güvenlik açıklarını test etmek için kullanılan açık kaynaklı bir araçtır. Web uygulamalarındaki XSS açıklarını tespit etmek ve kullanıcı girişlerini otomatik olarak analiz
cbb50b4a977bf6645fb138d47a5541af.png

Arachni

Web uygulamalarını tarayarak güvenlik açıklarını tespit etmek için kullanılan açık kaynaklı bir araçtır. XSS, SQL enjeksiyon, kaba kuvvet saldırıları gibi güvenlik açıklarını tarar.
7510c237f67f5016ac5a19c88b17333a.png

Wfuzz

Web uygulamalarını zorlamanın ve keşfetmenin yanı sıra ağ tabanlı saldırılar gerçekleştirebilen açık kaynaklı bir araçtır.
f2d346c2c443a7dd715d2d305d20a48e.png

Hydra

Kaba kuvvet saldırıları için kullanılan bir araçtır. Popüler protokoller üzerinde tarar ve kullanıcı adları/şifreleri bulmak için kullanılır.
3d203e3c307e1b6905bc72cb9379bfef.jpeg

Acunetix

Bir web uygulama güvenlik tarayıcısıdır. Güvenlik açıklarını tespit etmek ve saldırılara karşı korumak için kullanılır.
0a69a3f77d08d0bb36391fa30cb2f307.png

Vega

Web uygulama güvenlik testi için bir tarayıcı ve test platformudur. XSS, SQL enjeksiyon, güvenlik açıkları gibi konuları test eder.
ae9109b6746cc71c7c957f16196dbeb9.png

WPScan

WordPress tabanlı web sitelerinin güvenlik açıklarını tespit etmek için kullanılan bir araçtır. WordPress tabanlı saldırılar, güvenlik açıkları ve zayıf noktaları tarar.
3324cd38e52b0f4e4b8b977d81072a16.png

W3af

Web uygulamalarının taban hatalarını tespit etmek için kullanılan bir açık kaynaklı araçtır. Güvenlik açıklarını tarar ve raporlar üretir.
6f862ac78dfa110127988625df77357e.png

BeEF

Web tarayıcılarındaki güvenlik açıklarını test etmek için kullanılan açık kaynaklı bir araçtır. Tarayıcı tabanlı güvenlik açıklarını tespit etme ve kötü amaçlı komut dosyaları gönderme yeteneğine sahiptir.
3c26f3e68b8aa4fefcd0c9f8ef3e8e0e.jpeg

Netsparker

Web uygulamalarının güvenlik açıklarını tespit etmek için kullanılan bir tarayıcıdır. XSS, SQL enjeksiyon ve diğer yaygın güvenlik açıklarını tarar.
0ddc73c83d77526329bf24f203f55082.png
Genişletmek için tıkla ...
Eline sağlık, bazı görseller biraz büyük mü olmuş :)
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.