Web for Pentester Uygulaması Nedir? Nasıl Kullanılır?

Web for Pentester uygulaması, web sızma testi eğitimlerinde kullanılabilecek bir laboratuvar ortamıdır. Pentester Lab. tarafından geliştirilen bu platform web uygulamalarında bulunan aşağıda ki zafiyetleri barındırır. Kullanıcı bu aşamalı zafiyetleri tespit ederek alıştırmalar yapabilir.

-XSS

-SQL Injections

-Directory Traversal

-File Include

-Code Injection

-Command Injecttion

-LDAP Attacks

-File Upload

-XML Attack

Web for Pentester Kurulum

Pentester Lab. sitesinden iso dosyasını indirerek sanal makine üzerine kurulum gerçekleştirilebilir. VMware Workstation uygulaması açılarak “Create New Virtual Machine” butonu seçilir. Aynı işlem “File-New Virtual Machine” adımları izlenerek de yapılabilir. Devamında verilen yönergeler izlenerek kurulum gerçekleştirilir.

Web for Pentester Kullanım

1-Sanal makineye kurulan uygulamaya “ifconfig” komutu yazılarak makinanın Ip adresi öğrenilir.

2-Makinanın Ip adresine tarayıcı üzerinden ulaşıldığında aşağıda verilen ekran ile karşılaşılır. Devamında ekrandaki zafiyetlere tıklanarak alıştırmalar çözülür.

3-Örnek: XSS/ Example 1

XSS (Cross site scripting), zafiyeti Türkçeye “Siteler Arası Betik Çalıştırma” olarak geçmiştir. Web uygulamalarında bulunan güvenlik açıklığıdır. (XSS), bir istemci tarafı kod enjeksiyon saldırısıdır. Saldırgan, meşru bir web sayfasına veya web uygulamasına kötü amaçlı kod enjekte ederek kurbanın web tarayıcısında kötü amaçlı komut dosyaları yürütmeyi hedefler.

İlk örnekte karşımızda resimdeki sayfa gelmektedir.

Sayfanın kaynak kodu incelendiğinde URL parametresi olarak aldığı hacker değerini direkt olarak sayfaya bastığı görülür.

Bu parametre üzerinden XSS için zararlı kod gönderildiğinde kod herhangi bir filtreden geçmeden işlem görür. Örneğimizde aşağıda verilen kod ile ekrana bir uyarı butonu gönderildi.

name=<script>alert("Beyaz Net");</script>