Netsparker Desktop Komut Satırı Arabirimi ve Argümanları
Netsparker Desktop'ın komut satırı arabirimi hakkında bilgiler veren bir yazıdır. Ayrıca tüm argümanlar açıklanmış ve argümanlara dair örnekler verilmiştir.
Netsparker Desktop, taramalar başlatabileceğiniz bir komut satırı arabirimine sahiptir. Komut satırı arabirimi, bir projeye yeni kaynak kodu gönderildikten sonra üçüncü parti bir uygulama aracılığıyla tarama başlatmak gibi entegrasyon süreçleri için kullanılabilmektedir.
Komut satırı özelliğini ayrıca, Birden Fazla Web Sitesini Netsparker Desktop’ın Komut Satırıyla Tarama yazısında belirtildiği üzere birçok siteyi hedefleyen karışık tarama süreçlerini otomatikleştirmek için de kullanabilirsiniz.
Netsparker Desktop’ta Kullanılabilecek Komut Satırı Argümanları
Komut satırı arabirimi ile iş yaparken web zafiyet tarayıcısında bazı ön yapılandırmalar yapmak veya bir tarama raporu oluşturma gibi bazı tarama sonrası görevleri tanımlamak için aşağıdaki argümanları kullanabilirsiniz.
İsim: Autopilot Mode (Otomatik Pilot Modu)
Argüman: /a, /auto
Yaptığı iş: Bu argüman kullanıldığında Netsparker, belirlenmiş taramayı yürütecek, tanımlanmış rapor şablonu kullanarak raporu oluşturup belirlenen dizine kaydedecek ve ardından çıkış yapacaktır. Netsparker, bir batch işleminin parçası olarak başlatıldığında en yaygın kullanılan argüman Autopilot Mode argümanıdır.
İsim: Scan Profile Name (Tarama Profili İsmi)
Argüman: /p, /profile
Yaptığı iş: Tarama sırasında çalışacak olan Scan Profile (Tarama Profili)’ı belirlemek için bu argümanı kullanın. Argüman tanımlanmamışsa, varsayılan Scan Profile aktif olacaktır. Tarama profilleri, kompleks tarama yapılandırması verilerini komut satırı yürütmesi esnasında iletmek için güçlü ve kullanışlı bir mekanizma sağlamaktadır. Örneğin bir profil, aşağıdaki tarama ayarlarının Netsparker bünyesinde tanımlanmasına ve tek isimli bir yapılandırma seçeneği olarak erişilmesine imkan verir:
- Hedef URL’i ve hedef URL ile ilişkilendirilmiş tarama scope (kapsam)’u
- Seçilmiş güvenlik testi aralığı
- Crawl ve saldırı işlemi için kullanılan thread (iç parçası) sayısı
- Aktif parser’lar ve bu parser’lardan elde edilen linklerin nasıl yorumlanacağı
- Hedefteki backend veritabanı
Tarama profilleri ayrıca, manuel olarak link import etme ya da HTTP istekleri ekleme gibi gelişmiş tarama konseptlerini de destekler. Scan Profile konusu hakkında daha fazla bilgi almak için Netsparker Desktop’ta Tarama Profillerini Yapılandırma ve Yönetme başlıklı yazımızı okuyabilirsiniz.
İsim: Target URL (Hedef URL)
Argüman: /u, /url
Yaptığı iş: Hedef web servisinin ya da web uygulamasının URL’ini belirlemek için bu seçeneği kullanın. Bir URL içeren herhangi bir tarama profili tanımlanmazsa bu argümanı kullanmak zorunlu bir seçenek olacaktır. Netsparker’da tanımlanan bir Scan Profile, hedef URL’ini kendi bünyesinden türetecektir. Şayet Scan Profile ve URL yapılandırma parametresi belirlenmişse Netsparker, Scan Profile’ı göz ardı edecek ve hedef URL’i, hedef URL parametresinden türetecektir.
İsim: Report Path (Rapor Yolu)
Argüman: /r, /report
Yaptığı iş: Dosya ismini veya raporun kaydedilmesi gereken dosya yolunu tanımlamak için bu seçeneği kullanın. Eğer sadece dosya ismi tanımlanmışsa rapor Netsparker Desktop’ın çalıştırıldığı klasörde oluşturulacaktır. Hedef path, boşluk karakterleri içeriyorsa mutlaka iki tırnak arasına alınmalıdır.
Not: Bu argüman her zaman /auto argümanıyla beraber kullanılmalıdır.
İsim: Report Template Name (Rapor Şablonu İsmi)
Argüman: /rt, /reporttemplate
Yaptığı iş: Rapor şablonunun adını belirlemek için bu argümanı kullanın. Herhangi bir tanımlama yapmazsanız ilk rapor şablonu kullanılacaktır. Bu argümanı ayrıca, farklı şablonları kullanarak birkaç rapor export etme amacıyla birden fazla kez kullanabilirsiniz.
İsim: Help (Yardım)
Argüman: /h, /help
Yaptığı iş: Kullanılabilir tüm argümanların listesini görmek için bu seçeneği kullanın.
İsim: Silent Mode (Sessiz Mod)
Argüman: /s, /silent
Yaptığı iş: Hata mesajlarını almamak için bu argümanı kullanabilirsiniz. Bu argüman, schedule (planlanmış) taramalar ve otomatize edilmiş işler için idealdir.
İsim: Authentication Credentials (Doğrulama Ruhsatı)
Argüman: /auth
Yaptığı iş: Netsparker’ın Basic, Digest ve NTLM authentication ile kullanması gereken bir domain bilgisi, kullanıcı adı ve parola kombinasyonunu tanımlamak için bu argümanı kullanın.
/auth username password
/auth username password "host or domain"
/auth username@domain password
/auth host\username password
Kullanıcı adı, parola ya da domain boşluk karakteri içeriyorsa yukarıdaki örnekte de gösterildiği gibi bunları iki tırnak arasına almak gerekir. /auth argümanının alternatifi olarak credential’ları bir Scan Profile’ın parçası olarak da yapılandırmak mümkündür.
İsim: Log HTTP Requests (HTTP İsteklerini Kaydet)
Argüman: /lr, /logrequests
Yaptığı iş: Bir web uygulama güvenliği taraması esnasında Netsparker’ın gönderdiği ve aldığı tüm HTTP isteklerini kayıt altına almak için bu argümanı kullanın. HTTP istekleri, mevcut tarama dizinine “HttpRequests.saz” adıyla kaydedilecektir. Bu kayıt dosyasının içeriğini Fiddler’ı kullanarak görüntüleyebilirsiniz.
İsim: Resume Scan (Taramaya Devam Et)
Argüman: /rs, /resumescan
Yaptığı iş: Henüz bitmemiş fakat duraklatılmış bir taramayı devam ettirmek için bu argümanı kullanın. Bu argümanı kullanırken bitmemiş taramanın dosyasını "Netsparker.exe /resumescan C:\scans\scan1.nss" şeklinde belirtmeniz gerekir.
İsim: Generate Only HTML Reports (Sadece HTML Raporları Oluştur)
Argüman: /nopdf
Yaptığı iş: Sadece HTML raporları oluşturmak için bu argümanı kullanın. Bu seçenek kullanılmadığı takdirde tarayıcı otomatik olarak hem HTML hem de PDF raporu oluşturacaktır.
Netsparker Komut Satırı Kullanımına Dair Örnekler
Web Sitesini Taratıp Bir Rapor Oluşturma
Komut: Netsparker /a /url http://test23.example.com /rt "Detailed Scan Report" /r "C:\reports\scan report.html"
Açıklama: http://test23.example.com adresini tara ve Detailed Scan Report şablonunu kullarak bir rapor oluştur. Rapor dosyasını C:\reports\scan report.html yoluna kaydet.
Web Sitesini Taratıp İki Rapor Oluşturma
Komut: Netsparker /a /url http://test23.example.com /r "C:\reports\scan report-1.html" /rt "Detailed Scan Report" /r "C:\reports\scan report-2.html" /rt "OWASP Top Ten 2013 Report"
Açıklama: http://test23.example.com adresini tara ve Detailed Scan Report şablonunu kullanarak scan report-1.html raporunu, OWASP Top Ten 2013 şablonunu kullanarak scan report-2.html raporunu oluştur.
Bir Web Sitesini NTLM Authentication ile Tarama
Komut: Netsparker /a /url http://test23.example.com /auth john.doe "secret password" example.com
Açıklama: john.doe kullanıcı adını ve secret password parolasını kullanarak http://test22.example.com adresini tara.