Web Uygulamalarını Manuel Olarak Crawl Etmede Netsparker ve Selenium Kullanımı

Mustafa Yalcin - 03 Ocak 2017 -

"Bu yazı, web uygulamalarının fonksiyonelliğini test etmede yaygın olarak kullanılan Selenium kayıtlarının, Netsparker web uygulaması güvenlik tarayıcısı vasıtasıyla manuel olarak crawl edilmesi işlemini açıklamaktadır.

Web Uygulamalarını Manuel Olarak Crawl Etmede Netsparker ve Selenium Kullanımı

Geliştiriciler, QA mühendisleri gibi web uygulaması geliştiren ve test süreçlerine dahil olan kişiler arasında oldukça iyi bilinen Selenium test framework’ü, bir web uygulaması için yaptığınız browsing işlemini kaydedip yeniden oynatmanıza olanak sağlar.

Muhtemelen, çok adımlı formlar ya da alışveriş sepeti gibi fonksiyonelliğe sahip bazı uygulamalarda bulunan flow’lar başta olmak üzere, tüm web uygulamalarınızı test ederken kullandığınız Selenium script’leriniz vardır. Netsparker web güvenlik tarayıcısının bu flow’ları görmesini ve taramasını istiyorsanız tekerleği yeniden icat etmenize gerek yok. Selenium IDE Firefox tarayıcı eklentisini ya da kayıtları yeniden oynatan, Netsparker’daki taranan tüm sayfaları ve parametreleri yakalayan ve bunları otomatik olarak taranmış hale getiren herhangi bir sürücüyü kullanabilirsiniz.

İşlem oldukça basit. Yapmanız gerekenler aşağıda yazılmıştır. Ayrıca yazının sonunda yer alan videoda da işlemin bir örneğini izleyebilirsiniz:

1. Netsparker’ı Proxy Mode’da(Manual Crawling) Çalıştırın

Netsparker web güvenlik tarayıcısıyla Manual Crawling işleminde belirtildiği üzere tarayıcı, 10010 portunu dinleyen yerleşik bir proxy’ye sahiptir. Bu port, ayrıca varsayılan durumda sistem proxy’si olarak da kaydedilir. Dolayısıyla çoğu zaman tarayıcıda herhangi bir değişiklik yapmanıza gerek kalmaz.

Not: Manual Crawling işleminin ne olduğu hakkında daha iyi bir fikir edinmek için manual crawling makalesini okumanızı tavsiye ederiz.

Netsparker Desktop’ı çalıştırın ve manual crawling işleminini gerçekleştireceğiniz -kayıtları bulunan- hedef web uygulamasının URL’ini, Start a New Website or Web Service Scan penceresinde yer alan ilgili bölüme yazın. Ardından Scan butonundaki açılır menüden Manual Crawl(Proxy Mode) seçeneğini tıklayıp işlemi başlatın.

Manual-1

2. Selenium Testlerinizi Başlatın

Web tarayıcınızın Araçlar menüsünden Selenium IDE’yi seçin ve Play Entire Test Suite tuşuna basın.

Manual-2

3. Otomatik Zafiyet Tarayıcısını Başlatın

Test bitince Netsparker’a geçiş yapın. Tarayıcının yakaladığı bağlantıları teyit etmek için Sitemap’i kontrol edin ve taramayı devam ettirmek için Resume butonuna basın. Böylelikle Netsparker, söz konusu parametrelere saldırı yapabilir.

Video: Selenium’daki Testlerde Bulunan URL’leri Netsparker Desktop ile Tarama
https://www.youtube.com/watch?v=eAfqggJdAN0

Manual-3

Mustafa Yalcin

About the Author

Mustafa Yalcin

Code is Poetry.