Hepimizin de bildiği gibi pandemi dolayısıyla insanlar artık evlerde daha çok zaman geçirmeye başladı. Ve çoğu kurum ve kuruluşlar bu süreçte bilgilerini paylaşmak için internet ortamında birçok yayın kullanmaya başladılar. Bununla birlikte çoğunda güvenlik zafiyeti oluştuğu gözlemlendi. Bu oluşan zafiyetler uygulamada birçok risk barındırır. Bugün ise bahsedeceğimiz konu bu oluşan riskleri tespit edebileceğimiz araçlardan biri olan Owasp Zap’dır.
Owasp Zap ilk sürümü 2010 yılında Mozilla Security Team çalışanı Simon Bennets tarafından bulunan genellikle Penetration (Sızma) testlerinde kullanılan bir araçtır. Açık kaynak ve ücretsiz olması daha kolay ulaşılabilirliğini sağlar. Diğer araçlar kadar komplike olmaması sebebiyle başlangıç seviyesinde bu işe yeni başlayanlar ve geliştiriciler için daha ideal olabiliyor. Ayrıca güvenlik denetim amaçlı Linux dağıtımları olan Backtrack , Kali, Backbox da bulunur. ZAP Linux, Macos , Windows platformlarında çalıştığı için multi platform özelliği birçok kolaylık sağlıyor. İlk kullananlar için sorun yaşamadan kurulumunu çok rahat yapabilirsiniz.
Owasp Zap Kullanımı
Şimdi bir örnekle açıklayalım;
Tarama yapmak istediğimiz sayfayı açıyoruz. ZAP uygulamasında terminal ekranına “owasp-zap” yazarak başlatıyoruz. Proxy geçişini daha kolay yapmak için proxy eklentisi eklenir. Sonra ZAP uygulamasına geçilir. Aşağıdaki görseldeki gibi bir ekran bizi karşılar.
ZAP aracını 2 farklı modda kullanabiliriz.
- Otomatik
- Manuel
Otomatik modunda tarama:
Sayfanın IP adresini kopyalayıp ZAP ana sayfasındaki “URL to attact” bölümüne yazılır. Attack tuşuna bastıktan sonra ZAP sayfaya istekler yollayıp sayfayı taramaya başlar. İki tür arama yapar. Bunlar pasif ve aktif aramalardır.
Araştırma sonucu ortaya çıkan maddelerin üzerine tıkladığınızda açılan bölmede sorunun hakkında şu bilgiler verilir:
- Bulunan sorunun hangi kategoride olduğunu
- Sorunu nerede gördüğünü (IP adresi)
- Risk grubunu
- Saldırı ile ilgili kısa bilgi
- Çözüm önerisi
Aramada çıkan risk grupları:
Eğer tarama sonuçlarında High seviyesi çıkarsa detaylı olarak vakit kaybetmeden mutlaka incelenmelidir yoksa çok ciddi sorunlara yol açabilir.
Manuel modunda tarama
Arama yapılacak sayfaya gidilir. Eklediğimiz proxy eklentisinden ZAP aktif edilir. ZAP devreye alındıktan sonra ziyaret edilen her sayfanın trafiği ZAP ana sayfasında görüntülenmeye başlar. Manuel Explore butonuna basarak ziyaret edilen sayfalardan birinin seçilmesini ister. Bir sonraki aşamada Select butonuna basıp tarayıcıyı seçtikten sonra ZAP kendi içinde tarayıcıyı açmaya çalışır. Açılan sayfada yaptığımız işlemleri tarayıp sonuçları bize görüntüler. Kısaca manuel modunda yapılan aramada bize sağladığı en önemli fayda sahada uygulayarak tarama yapılmasıdır.
Bu yazıda kısaca Zed Attack Proxy (ZAP) konusundan bahsettik. ZAP modlarını kısa örneklerle açıklamaya çalıştık. ZAP her ne kadar diğer toollardan daha kolay olsa da önemli olan tarama sonucunda çıkan sorunların çözülmesidir.
Siber güvenlik alanında destek almak, siber güvenlik yazılım ve hizmetlerimiz hakkında bilgi sahibi olmak için BBS Teknoloji ekibiyle iletişime geçebilirsiniz.
Unutmayın teknolojinin her gün hızla gelişmesi yeni siber saldırı metod ve yöntemlerini de beraberinde getirmektedir. Bu nedenle geç kalınmadan siber güvenlik konusu öncelikli başlık haline getirilmesi gerekmektedir.
