Merhabalar,
Çalışma yaptığım iş yerinde sistemi analiz etmek için kullandığım araçlardan biri olan Skipfish aracını sizinle paylaşacağım. Bu araç ile bir web sitesinin ne tür açıkları var/yok tespit edebiliyoruz. Şimdi adım adım bunları inceleyelim.
İlk başta ben kullandığım Kali Linux Sürümünü paylaşayım: Kali-Linux-2021.4a-vmware-amd64
Kullandığım skipfish versiyonu: skipfish web application scanner - version 2.10b
1- Taramayı başlatalım. Burada -o çıktının yazılacağı klasörü belirler. Sonda yazılan ise taranacak web sitesidir:
2- Şimdi Enter'a basıp başlattıktan sonraki ekranı görüyoruz:
3- Bu adımda ise elde edilen belgeler/bilgiler/resimler max 15 adım olarak gösteriliyor:
(Not: Güvenlik sebebiyle site isimleri ve gizlilik gerektiren diğer bilgiler gizlenmiştir.)
4- Ya taramayı sonlandırıyoruz ya da bitmesini bekliyoruz. Bitince bize sonuçların olduğu sayfayı Report saved to kısmında gösteriyor.
Çalışma yaptığım iş yerinde sistemi analiz etmek için kullandığım araçlardan biri olan Skipfish aracını sizinle paylaşacağım. Bu araç ile bir web sitesinin ne tür açıkları var/yok tespit edebiliyoruz. Şimdi adım adım bunları inceleyelim.
İlk başta ben kullandığım Kali Linux Sürümünü paylaşayım: Kali-Linux-2021.4a-vmware-amd64
Kullandığım skipfish versiyonu: skipfish web application scanner - version 2.10b
1- Taramayı başlatalım. Burada -o çıktının yazılacağı klasörü belirler. Sonda yazılan ise taranacak web sitesidir:
2- Şimdi Enter'a basıp başlattıktan sonraki ekranı görüyoruz:
3- Bu adımda ise elde edilen belgeler/bilgiler/resimler max 15 adım olarak gösteriliyor:
(Not: Güvenlik sebebiyle site isimleri ve gizlilik gerektiren diğer bilgiler gizlenmiştir.)
4- Ya taramayı sonlandırıyoruz ya da bitmesini bekliyoruz. Bitince bize sonuçların olduğu sayfayı Report saved to kısmında gösteriyor.
5- Şimdi ise sonuçları inceliyoruz. Artık sonuçlara göre ne yapıp yapmamak size kalmış.
Görüldüğü üzere ben sizlere ufak da olsa bu konuda bir yol çizdim. Bu araç ile site hakkında bu şekilde detaylı bilgi toplayabilir, false-pozitif olanları ayıklayıp gerekli aksiyonları alabilirsiniz. Bu aracın en güzel özelliği Nessus gibi raporlama yapması. Zaten açık kaynak kodlu bir araç. İsterseniz de skipfish -h ile manuel parametreler için yönergeleri izleyebilirsiniz.
Keyifli okumalar.
Keyifli okumalar.