Temmuz 11, 2020

Web Güvenliği Testleri İçin Gerekli Ortamlar ( bWAPP ve DVWA nasıl kurulur?)

Herkese merhabalar , Web Güvenliği nedir? Ne tür açıklıkları vardır? Ve bu açıklıkları test etmek için gerekli sanal ortamlar nelerdir? Yazımızda sizler için bu konulara değineceğiz. Aklınıza takılan sorular için yorum yazarak bize ulaşabilirsiniz.

Web güvenliği, kullandığımız web uygulamalarının kötü insanlar tarafından suistimal edilmemesi için gereken korumadır. Web uygulamamızın güvenliği, web sitemize zarar gelmemesi, kullandığımız mevcut web uygulamalarının kullanıcı verilerinin çalınmaması, kullanıcıyı rahatsız edecek herhangi bir sorunun oluşmaması gibi konulardır.

SQL açığı, XSS (Cross Site Scripting) açığı, RFI/LFI açığı, XSRF/CSRF açığı, gibi web güvenlik açıklıkları bulunmaktadır.

SQL AÇIĞI: SQL bir web sayfasının veri tabanıdır. Bu veri tabanında kullanıcı bilgileri tutulur. SQL açığı sebebiyle bir web sitede ki tüm kullanıcıları alıp ister silip isterse bir şeyler ekleyebilirsiniz. Günümüzde çok yaygın bir açıktır.

XSS (Cross Site Scripting) AÇIĞI: XSS Saldırısı, saldırganın diğer kullanıcıların gördüğü web sayfalarına zararlı komut dizileri eklemesi ile olur.

RFI/LFI AÇIĞI: RFI (Remote File Inclusion) , uzaktan dosya ekleyerek kod çalıştırmaktır. LFI (Local File Inclusion) , yerelden dosya ekleyerek kod çalıştırmaktır.

XSRF/CSRF AÇIĞI: Web uygulamasını kullanmakta olan kullanıcıların istekleri dışında işlemler yürütülmesidir.  CSRF veya XSRF şeklinde kısaltılan bu güvenlik açığı “Siteler Arası İstek Sahtekârlığı” olarak çevrilir. “Session Riding” olarak da bilinmektedir.

Bu açıklıkları test edebileceğimiz, üzerinde çalışabileceğimiz sanal ortamlar vardır. bWAPP portalı, DVWA ve Mutillidae gibi portallar mevcut. Bu portalların kurulumu için ve bu yazının dataylı videosuna ulaşmak için buraya tıklayarak ulaşabilirsiniz.

İlk olarak bee-box makinasından bahsetmek istiyorum. Bu sanal makinanın içerisinde bWAPP portalı yer almakta. Bu portal içerisinde bir çok web güvenliği zaafiyetini barındırıyor. Sizler için güzel bir antrenman ortamı sağlayacaktır. Benim de favori çalışma ortamım diyebilirim:) Bee-box makinasını indirmek için buraya tıklayabilirsiniz.

İkinci olarak Metasploitable2 sanal makinasından bahsetmek istiyorum. Bu sanal makinanın içerisinde DVWA ve Mutillidae gibi portallar mevcut. Aynı bWAPP portalı gibi bu sanal ortamlarda da istediğiniz gibi web güvenliği üzerinde testler yapıp kendinizi geliştirebilirsiniz. Metasploitable2 makinasını indirmek için buraya tıklayabilirsiniz.

Kurulum aşamasında dikkat etmeniz gereken hususlar; İki sanal makinanın birbirini görebilmesi için ağ ayarının NAT olmasına dikkat ediniz. Daha fazlası için youtube kanalımızdaki videoya buraya tıklayarak ulaşabilirsiniz.

Bir sonraki yazımızda görüşmek üzere, teknoloji ile kalın 🙂

Kaçırmış Olabilirsiniz