ZAP’ te spider, active scan seçenekleri görüyoruz peki bu seçenekler nedir ne işimize yarar?Daha bir çok seçenek var fakat biz bu ikisini kullanacağız.
Active Scan
Aktif tarama, seçilen hedeflere yönelik bilinen saldırıları kullanarak potansiyel güvenlik açıklarını bulmaya çalışır.
Aktif tarama, bu hedeflere yönelik bir saldırıdır. Sahip olmadığınız web uygulamalarında kullanmayın.
Aktif tarama yalnızca belirli türden açıkları bulabileceği unutulmamalıdır. Erişim kontrolü kırılmış gibi mantıksal zayıflıklar herhangi bir etkin veya otomatik güvenlik açığı taraması tarafından bulunmaz. Her türlü zayıflığı bulmak için aktif taramaya ek olarak manuel penetrasyon testi da yapılmalıdır.
Spider
Spider, belirli bir sitedeki yeni kaynakları (URL’leri) otomatik olarak keşfetmek için kullanılan bir araçtır. Spider’ın nasıl başlatıldığına bağlı olarak, tohum adı verilen, ziyaret edilecek URL’lerin bir listesiyle başlar. Spider daha sonra bu URL’leri ziyaret eder, sayfadaki tüm köprüleri tanımlar ve onları ziyaret edecek URL’lerin listesine ekler ve süreç, yeni kaynaklar bulunduğu sürece tekrar tekrar devam eder.
Spider, Spider diyaloğunu kullanılarak konfigüre edebilir ve başlatılabilir.
Örümcek, bir URL’in işlenmesi sırasında kaynağın alınması için bir istekte bulunur ve daha sonra cevabı ayrıştırarak köprüleri belirler.
- Kısaca bizim amacımız spiderla olabildiğince fazla linke ulaşıp active scanle bu linklere saldırı yapmak.
Gamze Akbal 