Netsparker Desktop İle Proxy Mode'da Manual Crawling İşlemi

Netsparker Desktop, hedef siteyi manuel olarak crawl etmenize ve taramanıza olanak sağlayan yerleşik bir proxy’e sahiptir. Manuel olarak crawling etme işlemi, web uygulamalarının bazı sebeplerden dolayı otomatik olarak crawl edilemeyen bölümlerini taramak için kullanılan bir süreçtir. Manuel crawl işlemi sırasında tarayıcı, proxy üzerinden beslediğiniz URL’leri tarayacaktır. Bununla birlikte yazıda açıklanacağı üzere, otomatik ve manuel crawl işlemlerinin ikisini birleştirerek de kullanabilirsiniz. Manuel crawl işlemi genel olarak şu durumlarda kullanılır:

• Otomatik olarak crawl edilmemiş kısımları taramak istediğinizde,
• Sınırlı sayıda URL ve parametreyi taramak istediğinizde,
• Bir Controlled Attack (Kontrollü Saldırı) çalıştırdığınızda.

Netsparker Desktop ile Manuel Crawl İşlemi

Netsparker Desktop web uygulaması güvenlik tarayıcısı ile manuel crawl yapmak için şu adımları takip edin:

Adım 1: Bir Tarayıcıyı, Trafiği Netsparker’ın Üzerinden Proxy Etmek İçin Yapılandırma

Varsayılan haldeyken, Netsparker’ın proxy’si başlatıldığında Internet Explorer, Google Chrome ve Mozilla Firefox gibi popüler web tarayıcılarının tümü otomatik olarak proxy trafiğini Netsparker’ın proxy’si üzerinden geçirecektir. Bundan dolayı web tarayıcılarının proxy ayarlarını elle yapılandırmanız gerekmez.

Netsparker’ın proxy’si başlatılmamışsa, Tools açılır menüsünden Options menüsünü açın. Internal Proxy bölümüne tıklayın ve Register as System Proxy seçeneğinin yanındaki kutuyu işaretleyin. Proxy ayarlarını, otomatik olarak Netsparker’ın ayarlarıyla değiştiren bir web tarayıcısı kullanmıyorsanız, proxy’yi Netsparker’ın varsayılan port numarası olan 10010 şeklinde yapılandırın.

Tüyo: Proxy başlatıldığında dinleme portu proxy butonunda görüntülenecektir.

Adım 2: Netsparker Desktop’ı Proxy Mode’da Başlatma

Web tarayıcısının proxy ayarları yapılandırıldıktan sonra Netsparker Desktop web uygulaması güvenlik tarayıcısını başlatın ve Start a New Website or Web Service Scan penceresindeki uygun yere hedef URL’yi yazın. Hedef URL, web tarayıcısından alınan isteklerin filtrelenmesi için kullanılacaktır. Örneğin, http://php.testsparker.com adresini taratmak istiyorsanız, URL’yi girin. Farklı domainlerdeki sayfaları taramak istiyorsanız Netsparker bu sayfaları Scan Scope’a eklemeyecektir.

Not: Proxy ile yakalanan tüm istekler ayrıca yapılandırılmış olan Scan Scope ayarlarına göre de filtrelendirilmiş olacak.

Netsparker’ın proxy’sini başlatmak için Start a New Website or Web Service Scan penceresindeki Start Scan açılır menüsünden Manual Crawl (Proxy Mode) seçeneğine tıklayın.

Adım 3: Taratmak İstediğiniz Sayfalara Göz Atın

Netsparker’ın web tarayıcınız yoluyla taramasını istediğiniz sayfalara göz atmayı başlatabilirsiniz. Bu aşamada göz attığınız sayfaların Sitemap’e eklendiğini fark edebilirsiniz.

Crawl Edilmiş Sayfaları Manuel Olarak Taratma

Tüm sayfaları crawl ettirdikten sonra Netsparker’ın araç çubuğunda yer alan Resume düğmesine tıklayın. Böylelikle Sitemap’teki sayfalara saldırı başlatılmış olur. Aynı işlemi F5 tuşuyla da başlatabilirsiniz.

Bir Web Güvenlik Taramasında Hem Otomatik Hem Manuel Crawl İşlemini Kullanma

Bir web sitesini otomatik olarak crawl ettirmek için manuel crawl’dan alınan URL’leri ekleyin. Start a New Website or Web Service Scan penceresinde yer alan Start Scan açılır menüsünden Crawl and Wait ayarını seçin.

Netsparker, bu modda web sitesini otomatik olarak crawl edecek ve saldırı aşamasına geçilmeden önce süreci durduracak. Bununla beraber araç çubuğundaki Start Proxy butonuna tıklayarak proxy’yi devreye sokmanıza izin verecek. Bu işlemi yaptığınız aşamada, trafiği Netsparker üzerinden geçirmek için web tarayıcınızı yukarıdaki prosedüre göre yapılandırın ve taratmak istediğiniz sayfaları Sitemap’e eklemek için sayfalara göz atma işlemini gerçekleştirin.