ZAP ile Spider ve Active Scan

ZAP’ te spider, active scan  seçenekleri görüyoruz peki bu seçenekler nedir ne işimize yarar?Daha bir çok seçenek var fakat biz bu ikisini kullanacağız.

                  Active Scan

Aktif tarama, seçilen hedeflere yönelik bilinen saldırıları kullanarak potansiyel güvenlik açıklarını bulmaya çalışır.

Aktif tarama, bu hedeflere yönelik bir saldırıdır. Sahip olmadığınız web uygulamalarında kullanmayın.

Aktif tarama yalnızca belirli türden açıkları bulabileceği unutulmamalıdır. Erişim kontrolü kırılmış gibi mantıksal zayıflıklar herhangi bir etkin veya otomatik güvenlik açığı taraması tarafından bulunmaz. Her türlü zayıflığı bulmak için aktif taramaya ek olarak manuel penetrasyon testi da yapılmalıdır.

 

                    Spider

Spider, belirli bir sitedeki yeni kaynakları (URL’leri) otomatik olarak keşfetmek için kullanılan bir araçtır. Spider’ın nasıl başlatıldığına bağlı olarak, tohum adı verilen, ziyaret edilecek URL’lerin bir listesiyle başlar. Spider daha sonra bu URL’leri ziyaret eder, sayfadaki tüm köprüleri tanımlar ve onları ziyaret edecek URL’lerin listesine ekler ve süreç, yeni kaynaklar bulunduğu sürece tekrar tekrar devam eder.

Spider, Spider diyaloğunu kullanılarak konfigüre edebilir ve başlatılabilir.

Örümcek, bir URL’in işlenmesi sırasında kaynağın alınması için bir istekte bulunur ve daha sonra cevabı ayrıştırarak köprüleri belirler.

  • Kısaca bizim amacımız spiderla olabildiğince fazla linke ulaşıp active scanle bu linklere saldırı yapmak.

 

 

 

 

Reklamlar

ZAP’le Saldırı Yapmak

Öncelikle saldırı yapmak istediğimiz siteden izin alınmadıysa bu bir suçtur. Ama güvenlik konusunda bilgi sahibi olmamız için bazı özel siteler vardır ZAP’i bu siteler üzerinde deneyebiliriz.

Biz bu örnekte kendi bilgisayarımıza Bodgeit’i yükleyeceğiz.

  • Bodgeit’i yüklemek için. Video linki tık 🙂
  • Tomcat download tık 🙂
  • Tomcat’i C nin altına servers adlı bir dosya açarak onun içine kuralım.

Bunları yaptıktan sonra cmd girip;

C:\servers\apache-tomcat-7.0.78\bin dosyasına gidelim komut istemine

$ startup.bat

Yazıyoruz.
Daha sonra firefoxu açıp url kısmına http://localhost:8080/bodgeit yazıyoruz.

Bodgeit

ZAP ‘ e baktığımızda

ZAP Bodgeit görünüm 1

Bodgeit anasayfası ve yaptığımız istekler ZAP’te görünüyor. Şimdi site içerisinde biraz gezinip tekrar ZAP’e geri dönelim şuan 1 Medium 2 Low olmak üzere güvenlik açığı görünmekte.

Bizim amacımız sayfada olabildiğince çok istek yapıp dolaşmak daha sonrada bu yerlere saldırı yapmak.

ZAP bodgeit url attack

ZAP ilk önce spider daha sonra active scan yapmaya başlıyor. Taramalar bittikten sonra Alert kısmına tıklıyoruz.

ZAP bodgeit Alert

Sitedeki güvenlik açıkları burada görünmektedir herhangi birine tıkladığımızda;

ZAP açık urL

  • Açığın bulunduğu link
  • Yapılan saldırı
  • Açık hakkında bilgi
  • Açığın düzeltilmesi hakkında bilgiler verilmektedir.

 

 

ZAP’i nasıl tarayıcıya bağlarız ?

Bu yazıda ZAP’i tarayıcıya bağlayıp ZAP üzerinden siteleri gezeceğiz ve ZAP’te biz gezindikçe neler çıkacak bunlara bakacağız.

 

ZAP ve tarayıcımızın ayarını yapalım.
Firefox’u açıyoruz. >> Menüyü aç >> Seçenekler >> Gelişmiş >> Ağ >> Ayarlar
Açılan sayfayı bu şekilde ayarlıyoruz.

ZAP firefox ayar

Daha sonra ZAP ‘i açalım. Tools >> Options

 

Daha sonra Gelen ekranda Local proxy ‘ye tıklayıp resimdeki ayarı yapıyoruz.

ZAP options 2

Firefoxu açıp bir kaç tane sayfa geziniyoruz (Bu arada ZAP açık kalmalı)

ZAP websites görüntüleme

ZAP’ e baktığımızda gezdiğimiz sitelere yaptığımız istekler ve bu sitelere ait güvenlik açıklıkları görünmektedir. Bir sonraki yazıda bilgisayarımıza yükleyeceğimiz uygulamayı ZAP’le inceleyeceğiz.

 

 

ZAP – Zed Attack Proxy Nedir?

# ZAP – Zed Attack Proxy

Bu blog yazısında Zed Attack Proxy  kısaca ZAP nedir  ne işe yarar ZAP’ le neler yapabiliriz ona bakacağız.

  • ZAP’le bir web application (Web uygulaması-webapp) ‘ın sahip olduğu güvenlik zayıflıklarını bulabilir ve daha güvenli bir hale getirebiliriz.
  • ZAP web uygulamaları için güvenlik taraması yapar. Hedef sitede iç link, dış link, server bilgileri, index kodları vs.. gösterir.
  • Penetration (Sızma) testlerinde kullanılır.
  • Kısaca kullanımı kolay web denetim aracıdır.
  • Araya giren vekil sunucudur.

ZAP proxy position

  • Otomatik web güvenlik testleri için idealdir. Seleniumla birlikte çalışabilir.

security-zap-and-selenium-14-638

  • Açık kaynak ve ücretsizdir.
  • Multi platform kurulumu kolaydır.

ZAP’ in görünümü;

ZAP görünüm

ZAP ‘ i yüklemek için link tık 🙂

Bir sonraki blog yazısında görüşmek üzere 🙂

P5.js Nedir ?

  • P5.js çizimler, animasyonlar yapabileceğiniz ve kodla sanatı birleştirebileceğiniz bir JavaScript kütüphanesidir.
  • Yapacağımız projeler sketch olarak adlandırılır.(Eskiz)
  • P5.js web kamerası, video ve ses gibi diğer HTML5 nesneleri ile etkileşim kurmayı kolaylaştıran eklenti kitaplıklara sahiptir. Örneğin p5.sound.

Öğrenmeye başlamak için P5.js editorunu  buradan indirebilirsiniz.

Editörümüzün görünüşü bu şekilde . 🙂
p51

Gördüğünüz gibi editörü ilk açtığımızda iki tane ana fonksiyon görüyoruz.

  • Setup()
  • Draw()

Play tuşuna basarak yazılan projeyi çalıştırabiliyoruz burada önemli bir nokta var;
Setup() fonksiyonu program çalışmaya başladığı an bir kere çalıştırılır fakar Draw() fonksiyonu bir döngüdür tekrar tekrar program çalıştığı sürece çalıştırılır.
Bunun sebebini daha iyi anlamak için bir örnek tık 🙂

TDD ve BDD Nedir ?

 # TDD ( Test Driven Development )

Kısaca; önce testi yazacağız sonra testi geçen kodları yazacağız.

  • Önce testi yazıyoruz, testi geçecek kodu yazmadığımız için test adımları geçemiyor ve testimiz başarısız oluyor.
  • Sonra bu testi doğru şekilde çalıştıracak kodu yazıyoruz.
  • Yazılan kodlarla testin çalışacağı temel şekilleniyor. Testimizi yeniden çalıştırdığımızda içeriği dolmuş test parçası amacına ulaştığı için yazılan kodlar da testten başarıyla geçmiş oluyor.

3 aşaması vardır;

  • Fail
  • Pass
  • Refactor

Fail >> Kod testi geçemez ve düzeltilir.
Pass >> Düzeltilen kod testi geçer.
Refactor >> Son aşama koda bakılır ve tekrarlı yerler düzeltilir. Kod daha anlaşılır hale getirilir.
Sonra bu adımları tekrarlıyoruz.

# BDD ( Behaviour Driven Development )

  • Ben bir kullanıcıyım.
  • Banka hesabıma para yüklemek istiyorum.
  • Böylece paralarım daha güvende olacak.

3 parçaya böleriz;

  • Given
  • When
  • Then

Given >> Var olan banka hesabımız ve hesaba yuklenecek para.
When >> Kullanıcı olarak hesaba para yuklemek istediğimiz zaman.
Then >> Paranın banka hesabına yuklendiğine emin olmak.

Bu yöntem hem yazılı test odaklı yapar. Hem de geliştiricinin yazdığı kodları, işi veren kişinin anlamasını sağlar.
Konuşma dili gibi olduğundan anlaşılması basittir.

2016 Linux Yaz Kampı

Herkese Merhaba! Eğer 2017 yılında Linux Yaz Kampına (LYK) gitmek istiyorsanız ve aklınızda acaba iyi midir ?? Ya 15 günüm rezil olursa gibi kafanızda soru işaretleri varsa tam da size göre bir yazı olacak!

İlk önce işin maliyet kısmına bakalım kursların hepsi ücretsiz eğer LYK’ya katılmaya karar verdiyseniz konaklama ve yeme – içme masraflarınızı siz karşılıyorsunuz kampüste yemekhane ve cafelerin bulunduğu bir aktivite merkezi mevcut.

Ben Denizli’den katıldım LYK’ya benim için upuzun bir yolculuk oldu yaklaşık 9 saatlik gece yolculuğu yaptık staj yaptığım şirketteki stajyerlerle beraber. En çok uzun yolculuk ve konaklama korkuttu gözümü. Ben pek uzun yolculuklara alışkın değilim (molalarda sessizce kustuğum doğrudur). Neyseki yolculuğumuz çok rahat geçti Boluya vardık hepimizin üzerinde bir uyku sersemliği vardı otogardan kalkan servisle kampüse gittik ve önce belirtilen fakülteye gidip kampa sonra kartlarımızı alıp KYK’ya başvuru-kayıt yaptık .

14137801_10207802184478676_499800816_n

İşin en yorucu kısmı buydu sanırım ama sizin gibi yüzlerce kişiyi gördüğünüzde hoş bir ortamda olduğunuzu farkediyorsunuz ve IY NE İĞRENÇ Bİ GUNDU yerine “tatlı” bir yorgunluk olarak hatırlıyorsunuz (ironi yapmıyorum :)) Yurda yerleşip hemen açılış konuşmasının yapıldığı konferans salonuna gittik.Açılış konuşması yapıldı.

acilis

Daha sonra ara verilip ilk derse başlandı biz Rails kursundaydık bilgisayarında ubuntu olmayanlar ilk derste ubuntu ve ders için gerekli programları kurdular sonraki günlerde Ruby temel eğitimi verildi daha onceki blog yazımda bu eğitime dair verdiğim bilgileri okuyabilir ve kaynaklarını bulabilirsiniz. Buradan Git-Github,Web çalışma mantığı,Haml-sass ve son olarak rails projesi açılıp dizinler incelendi controller nedir hangi iş hangi dosya altında yapılır bunlar anlatıldı.Git-Github hakkında yakın bir zamanda blog yazacağım.

Bu arada dersler saat sabah 930dan akşam 930’a kadar sürüyor ama dediğim gibi “tatlı” yorgunluk.Ayrıca geniş bir eğitimci skalasına sahip ilk haftada;

İlk Üç gün kamptaki hocalarımız;

8 kişi eğitim verdi.Git,web,haml css eğitimlerinden sonra railse giriş yaptık ve ilk projelerimizi oluşturduk iki ayrı proje yaptık biri IdeaBoard öbürü de Place. İlk olarak db:pattern de IdeaBoard projemizin veritabanı şablonunu oluşturduk ve rails e geçip şablona gore veritabanımızı şekillendirdik. Daha sonra hocalarımız aynısını Place projesi için yapmamızı istedi ve ilerledikçe kahoolda yarışmalar yaptılar.Böylece öğrendiklerimizi pekiştirmiş olduk hem de derslerimiz sıkıcı olmadı.

15 günlük kampta bir gün tatil verildi sınıfça gölcük’e gidildi.

Kahvaltıdan bir kare

kahvaltı

Gölcük çıkarması

golcuk

1 Günlük tatilin ardından aramıza yeni bir hocamız aramıza katıldı rails projemize paralel olarak bize teste dayalı yazılım “TDD” ve Rspec gemini anlattı.Ayrıca Idea projemizin arayüzünü güzelleştirdi.

ugur

IdeaBoard ve Place projelerimiz bittikten sonra kampın son 2 gunu yarışma yapıldı sınıf 4-5 kişilik gruplara ayrılarak öğrendiklerimizle  IMDB’nin-Kitap versiyonu olan bir web sitesi yaptık.

Bad Girl”sss” Of Rails ekibimizle 1. olduk.”Ehe he he he he”

IMG_0280

Son Gün Tüm Sınıfla Bir Kare

IMG_0308

Genel olarak kamp hakkındaki fikirlerim;
Keşke daha önce gitseymişim.Keşke her sene gitseymişim.Hayatımda geçirdiğim en güzel ve en eğlenceli zamanlardan biriydi.O kadar yoğun tempoya rağmen hala bu cümleleri kurabiliyorum (Ben bakkala gitmeye bile üşenirim). Çok güzel insanlar tanıdım arkadaş edindim. Akademik Bilişim ve 2017 LYK’yı dört DÖRT 4 gözle bekliyorum.

Veee yepyeni bir teknoloji öğrendim.
  Catch’em all!!

14152187_1434204173263470_1725602808_o

Kamp Boyunca dağıtılan stickerslarla güzelleşen laptopım =)

14151749_10207802184318672_8753339_o