Ekim 19, 2021
11 11 11 ÖÖ
TCP nedir ? Aktarım Katmanı 2
Aktarım Katmanı Tcp Nedir
Yönlendirme Nedir 2 ?
Yönlendirme Nedir ?
Ağ Katmanı Nedir 2 ?
Ağ Katmanı Nedir ?
Veri Bağı Katmanı Nedir 2 ?
Android Studio Nasıl Kurulur ?
Veri Bağı Katmanı Nedir ?
Fiziksel Katman Nedir ?
Son Yazılar
TCP nedir ? Aktarım Katmanı 2 Aktarım Katmanı Tcp Nedir Yönlendirme Nedir 2 ? Yönlendirme Nedir ? Ağ Katmanı Nedir 2 ? Ağ Katmanı Nedir ? Veri Bağı Katmanı Nedir 2 ? Android Studio Nasıl Kurulur ? Veri Bağı Katmanı Nedir ? Fiziksel Katman Nedir ?

Nikto – Owasp Zap – Nessus Nedir Nasıl Kullanılır ?

Paylaşım , Takip İçin

Nikto aracı, web uygulamalarında bulunan zaafiyetleri tespit etmek amacıyla kullanılan, kullanımı oldukça basit ücretsiz, açık kaynak güvenlik aracıdır.

Nikto aracının özellikleri:

  • SSL ve HTTP proxy desteklemektedir.
  • Uygulama sunucusunun güncel olup olmadığını tespit edebilmektedir.
  • Header bilgisinden yazılım bilgisini elde edebilir.
  • Altdomain bilgisini, klasör bilgisini tespit edebilmektedir.
  • Zaafiyet bilgisini güncel OSVDB den kontrol edebilmektedir.
  • Tarama sonucunu text, XML, HTML, NBE ve CSV formatında kaydedebilmektedir.

En basit kullanımı;

nikto -h Sık kullanılan parametrelerine bakacak olursak, 

./nikto -H komutuyla yardım menüsüne erişebilirsiniz.

-h hedef site veya İP
-nolookup DNS lookup yapma
-list-plugins Pluginleri listele
-nossl SSL kullanma
-ssl SSL kullanmaya zorla
-Tuning+ Tarama ayarları

1 Interesting File / Seen in logs
2 Misconfiguration / Default File
3 Information Disclosure
4 Injection (XSS/Script/HTML)
5 Remote File Retrieval – Inside Web Root
6 Denial of Service
7 Remote File Retrieval – Server Wide
8 Command Execution / Remote Shell
9 SQL Injection
0 File Upload

a Authentication Bypass
b Software Identification
c Remote Source Inclusion
d WebService
e Administrative Console
x Reverse Tuning Options (i.e., include all except specified)

-update CIRT.net den veritabanını ve pluginleri güncelle
-useproxy proxy kullan
-Format taramanın çıktı formatı

Owasp Zap

OWASP ZAP, Kali linux ile gelen ve gerekli parametreleri girdiğimizde web zafiyetlerini otomatik olarak tespit eden açık kaynak kodlu bir web güvenlik tarayıcısıdır. Proxy sunucu olarak kullanılabilir ve bu sayede https trafiği de dahil olmak üzere owaspın içinden geçen tüm trafik izlenebilir değiştirilebilir.

Hızlı başlangıç sekmesine gelip , metasploitable 2 web zafiyetimizin url sini kopyayalıp yapıştırıyoruz buraya . Sonrasında gerekli parametreleri işaretleyip Saldırı butonuna tıklıyoruz .

Sonrasında ilk başta Örümcek taramalarını yapıyor sonrasındada Aktif taramıza geçiyor . Kapsamlı olduğundan dolayı uzun sürebilir bütün taramalar bittikten sonra zafiyet sömürülerimize geçeceğiz.

Tarama işlemi bittiğinde uyarılar sekmesinde bulunan zafiyetleri görebiliriz. Bu zafiyetlere göre saldırılarımızı gerçekleştirebiliriz. Yada direk sitemize girdiğimizde bizim için açık olan zafiyetlere saldırabiliriz.

Burdan sonrası için penetrasyon testi adımlarından web penetrasyona bakabilirsiniz.

Nessus

Nessus zafiyet tarama aracıdır. 

Cihazlarda hangi işletim sisteminin çalıştığını, hangi servislerin hangi portlar üzerinde çalıştığını, işletim sistemi ve servislere ait açıklıklar, yazılım bileşenleri ve ağ protokollerinin sahip olduğu zafiyetler ve uyumluluk gereksinimlerinin ne durumda olduğu gibi kriterlere göre hedef cihazların sahip oldukları açıklıklarla ilgili geniş kapsamlı raporlama sunar. 

Nessus servisimizi çalıştırmak için kullandığımız komut.

Girişimizi yaptıktan sonra new scan diyip seçimimizi yapacağız.

Kaydımızı yaptıktan sonra my scans kısmına geliyoruz.

Yapacağımız tarama buraya düşücek ve çalıştır dediğimiz zaman çalıştırıp bilgileri bize sunucak.

Report kısmından burdaki dökümanları pdf olarak alabilirsiniz.


Paylaşım , Takip İçin
5 1 vote
Article Rating

Bir Cevap Yazın

1 Yorum
Oldest
Newest Most Voted
Inline Feedbacks
View all comments

[…] Nikto […]

1
0
Would love your thoughts, please comment.x
()
x
HAYALİNDEKİ YAZILIM
%d blogcu bunu beğendi: