Merhaba dostlar hayırlı günler,hayırlı geceler vega'nın ne oldugunu nasıl kullanıldığını elimden geldiğince açıklayacağım. Hatalarımı yazarsanız sevinirim. Başlayalım
VEGA NEDİR ? NE AMAÇLA KULLANILIR ?
Vega , web uygulamalarının güvenliğini test etmek için kullanılan ücretsiz
ve açık kaynaklı bir web güvenlik tarayıcısı ve web güvenliği test platformudur.
SQL Enjeksiyon, Siteler Arası Komut Dosyası (XSS) ve diğer güvenlik açıklarını bulmanıza ve doğrulamanıza yardımcı olan program, Java, GUI tabanlı
yazılmıştır ve Linux, OS ve Windows üzerinde çalışır.
Gelelim nasıl kullanıldığına...
Öncelikle Kali Linux 2016.2 ve sonrasında VEGA bulunmadığı için ;
Konsola apt-get install vega yazarak aracımızı yüklüyoruz.
Show Application bölümüne veya terminale vega yazarak programımızı açalım.
Aracımızı açtıktan sonra sol üst köşede yer alan Start New Scan (CTRL+N) kırmızı yuvarlak butona tıklıyoruz.
Karşımıza çıkan ekranda yeni tarama tanımlayacağız. Bu ekranda Scan Target bölümünde yer alan ilk seçenek ile bir adet URL belirleyerek tarama yapabiliriz.
İkinci seçenek olan scope for scan la ise birden fazla hedef belirterek toplu bir tarama yapabiliriz. Edit Scopes butonuna tıklauarak Base Path kısmında yazdığımız domain den sonra Add butonuna basıyoruz ve adresler ekleniyor. Sonrasında OK diyerek hedef seçme ekranına geri dönüyoruz NEXT butonuna basarak devam ediyoruz.
Karşımıza cookie ekranı gelecektir. Eğer elimizde hedef siteye ait cookie bilgisi mevcut ise kullanabilirsiniz. Tarama sırasında bu bilgi işe yarayabilir. Olmadığı için boş geçiyorum ve NEXT butonuna tıklıyorum.
Sonrasında karşımıza modüllerin bulunduğu liste gelecektir. W3AF de olduğu gibi taranmasını istediğiniz açıkları seçebilirsiniz. Alakasız olabilecekleri çıkartmanızı öneririm. Ben default ayarla tarama yapacağım.
Sonraki aşamayıda atlayarak FINISH tutonuna tıklıyoruz ve taramamız başlıyor. Taramamız başladı ve ekranda görüldüğü gibi High, Medium, Info olarak site üzerindeki açıkları tarıyor. Anlaşılır ve kolaylık bakımından güzel bir raporlama. Çünkü High açıklar bizim için çok önemli.
High bölümünde yer alan açıklardan birine tıklıyorum. Örneğin shell injection. Sağ geniş ekranda ise information başlığı altında bize açığın nerde olduğunu raporluyor. Ayrıca Sql İnjection açığınıda bulduğunu görüyoruz.
Aslında bakarsanız sitemiz şuan hacklendi diyebilirim tabi sizin yeteneğinize kalmış bir durum.
Ayrıca açığın raporlama kısmında sayfanın en aşağısına inersek bulunan açık ile alakalı bilgilendirme bulunmaktadır. İngilizceniz iyi bir durumdaysa bu makale ve bilgilendirmeler sayesinde açığı layıkıyla kullanabilirsiniz.
Son olarak Website View kısmından site dosyalarını görebilir, Proxy butonuna tıkladığınızda ise ekstra bilgi edinebilirsiniz.
Elimden geldiğince anlatmaya çalıştım.Hatalarım olduysa belirtirseniz sevinirim. İyi forumlar
Moderatör tarafında düzenlendi: