kavi acunetix web vulnerability scanner sunumu
DESCRIPTION
Acunetix Web Vulnerability Scanner SunumuTRANSCRIPT
Gökhan [email protected]
Acunetix Web Vulnerability Scanner
● Tehlike ne kadar yakın?● İnternet güvenliği pazarı
● Acunetix○ Nedir ve neden kullanılmalıdır ?○ Nasıl taramalar yapar ?○ Öne çıkan özellikleri ?○ Pazardaki yeri ve başlıca rakipleri ?○ Lisanslaması nasıl yapılıyor ?
● Acunetix hakkında
Konu Başlıkları
Tehlike ne kadar yakın?
Tehlike ne kadar yakın?
İnternet Güvenliği Pazarı
İnternet Güvenliği Pazarı
● İnternet güvenliği pazarı her geçen gün hızla büyüyor.
● Türkiye'de, Gartner tarafından tahmin edilen pazar payı yaklaşık 29 milyon usd.
● Yine araştırmalara göre, Türkiye'de internet güvenliği için kişi başı ortalama harcama 1 usd civarında iken, ABD ve İngiltere'deki ortalama harcama ise 10 usd.
Acunetix WVS nedir?
● Dinamik oluşturulan web uygulamalarındaki güvenlik açıklarını tarayarak, çok detaylı analiz yapılmasını ve gelişkin raporlar alınmasını sağlar.
● Bu sayede, web uygulamasında, veritabanı bağlantısında ya da servisteki güvenlik açıklarını, güvenlik sorunu ortaya çıkmadan bulmanızı ve kapatmanızı sağlar.
Acunetix nedir?Web uygulamaları, güvenlik açısından detaylı bir test prosedürüne tabii tutulamamaktadır. Acunetix WVS ile bu test ortamını hazırlayabilir ve web uygulamasını saldırılara karşı koruyabilirsiniz.Web uygulamalarında ufak bir kod hatası, uygulamanın zarar görmesine, veritabanı bilgilerine erişime, ve hatta web sunucusuna izinsiz erişime neden olmaktadır.
Neden kullanılmalıdır ?
Günler Süren Güvenlik Taramalarını 10 Dakikada Yapın.
● Acunetix Web Vulnerability Scanner sadece web uygulamalarını denetlemekle kalmaz, aynı zamanda web uygulamasının bulunduğu sunucuyu da, tüm saldırı yöntemlerine karşı denetler.
● Tüm denetleme süreci, manuel olarak yapılan testlere göre çok kısa zamanda sona erer.
Neden kullanılmalıdır ?
Acunetix Web Vulnerability Scanner ile tüm kodlamalarda var olan ve güvenlik tehlikesi yaratabilecek kırılganlıkları ortaya çıkartabilirsiniz.
● ASP● PHP● ASP● .NET ● CFM
* HTTP/S protokolü kullanan ve diğer dillerde yazılmış tüm siteleri kontrol edebilir!
Acunetix nasıl taramalar yapar ?
Ana Sayfa
Site Crawler
● Site Crawler, Hedef sitedeki tüm URL'leri tarar.● Taranan her URL hakkında detaylı bilgi verir.● Bulunan hedefler üzerinde işlem yapılmasını
sağlar.
Site Crawler
Target Finder
● Target Finder, Verilen ip aralığında, verilen portları tarar.
● Buna bağlı olarak, bulunan sunucuları ayrıca crawler ile tarar.
Target Finder
Subdomain Scanner
● Siteye bağlı tüm sub domainleri tarar ● Bulunan alt alanların taranmasını sağlar.● Eğer özellikle gizlenmemişse, bu alanlarda
bulunan sunucuların bilgisini de getirir.
Subdomain Scanner
Blind SQL Injector
● Yapılan tarama sonucu ortaya çıkan SQL injection ihtimallerinin denenmesine yarar.
● Bu alanda denemeler yaparak, veritabanına bağlantı yapılabilir.
● Tüm veritabanı yapısı, tablolara erişilebilir.
SQL Injector
HTTP Editor
● HTTP/S request/response cycle analizi yapılır.● HTTP header bilgileri değiştirilerek sunucuya
tekrar gönderilebilir.● Cookie bilgileri görülebilir.
HTTP Editor
HTTP Sniffer
● HTTP Sniffer, Sniffer özelliği ile log tutabilir● Trap kurarak değişik trafik özelliklerine göre veri
çekebilirsiniz.
HTTP Sniffer
HTTP Fuzzer
● Sunucuya yüksek sayıda request/talep göndermeye yarar.
● Bu talepler, 'bad' ya da 'invalid' talepler olabilir.● Bu taleplere değişik türlerde veri eklenebilir;
○ Sayı serileri○ String , random string ○ File ○ Character
Bu sayede sıralı veriye erişim sağlanabilir. Örnek: www.test.com/shop.html?page=urunler&category_id=19 19'dan başlayarak number eklenerek, istenen sayıda page request yapılabilir.
HTTP Fuzzer
Auth Tester
● Test edilmesi gereken, Login Formu gibi kritik sayfalara login olmaya çalışır.
● Dictionary based attack yapar.
Bkz: John the Ripperhttp://www.openwall.com/john/
Auth Tester
Öne Çıkan Özellikleri
• Özel 404 sayfalarını otomatik olarak algılama.• Basitleştirilmiş tarama sihirbazı• Gerçek zamanlı (Real Time) çalışan Crawler motoru• Gerçek zamanlı taranan dosya ve klasör bilgisi• XSS, SQL injection gibi zafiyetlerin en son varyasyonları
Öne Çıkan Özellikleri
• Console modunda çalışırken, her 10 saniyede bir log tutma• Sunucu ile bağlantının kaybolması durumunda bilgilendirme• XSS testleri için büyük-küçük harf duyarlılığı• Yeniden tasarlanan zamanlayıcı sayesinde, birden çok web sitesinde, aynı senaryolar kullanılarak tarama yapılabilmektedir.
Lisanslanması Nasıl ?
Small Business Edition: Sadece 1 Websitesi
Small Business Edition, tek bir sunucu üzerinde yüklü bir web sitesi sahibi ve faaliyet gösteren kuruluşlar için geliştirilmiştir. Küçük işletmeler için ideal olan bu sürüm bir kullanıcının web taramasını sağlar. Müşteriler veya üçüncü şahısların sitelerini taramak için kullanılamaz.
Lisanslanması Nasıl ?
Enterprise Edition: Sınırsız WebsitesiEnterprise Edition birden fazla web sitesi sahibi ve işletimi için geliştirilmiştir. Büyük organizasyonlar için ideal olan bu ürün aynı bilgisayarda web sitelerinin sınırsız sayıda taramasını sağlar. Müşteriler veya üçüncü şahısların sitelerini taramak için kullanılamaz.
Enterprise Edition x10 Instances: Sınırsız WebsitesiEnterprise Edition ve Enterprise Edition x10 Intances arasındaki fark bu sürüm aynı bilgisayarda aynı anda 10 adete kadar web sitesinin taramasını sağlar.
Lisanslanması Nasıl ?
Consultant Edition: Sınırsız WebsitesiConsultant Edition, penetrasyon testleri ve güvenlik değerlendirme hizmetleri ile bunları sağlamak için müşterilerine ait web sitelerinin sınırsız taramasını yapabilir . Güvenlik Danışmanları, Web Geliştirme Ajansları ve ISP'ler için ideal olan bu ürün, ayrıca değerlendirme testleri yapar ve raporlar, güvenlik açığı Editörü içerir. Consultant Edition da kendi logonuzu ekleyerek raporları kişiselleştirmenize izin verir ve aynı bilgisayarda yazılım 2 taramaya kadar çalıştırılabilir.
Consultant Edition x10 Instances: Sınırsız WebsitesiConsultant Edition ve Consultant Edition x10 Instances arasındaki fark bu sürüm aynı bilgisayarda aynı anda 10 adete kadar web sitesinin taramasını sağlar
KaynakçaBlind SQL Testhttp://www.youtube.com/watch?v=-V_0H2do89UGHDBhttp://www.hackersforcharity.org/ghdb/http://www.exploit-db.com/google-dorks/Webdav Shell Makerhttp://d3vzzz.blogspot.com/2012/02/download-these-files-download-rootkit.htmlHow to Deface Websites using SQL and Php scripting?http://www.hackingloops.com/2009/12/hacking-class-14-how-to-deface-websites.htmlLinux Root Shellshttp://ftp4.de.freesbie.org/pub/misc/www.rootshell.com/Toolshttp://insecure.org/http://sectools.org/Şu Anda Kim Hangi Siteye Saldırıyor?http://www.zone-h.org/archive/published=0
Sorular?
http://www.kavi.com.trhttps://twitter.com/kavicomtrhttp://www.acunetix.com
http://www.slideshare.net/kavicomtr