Bugün ki yazımızda Profosyenellerin Sızma Testi Araçları (2023) ele alacağız.
Sızma Testi Nedir ?
Sızma testi (pentest) hedef sistem/siteye güvenlik açıklarını tespit etmek için yapılan testtir.
Pentest testi ile zaafiyet bir sistemin güvenlik açığı barındırıp barındırmadığını tespit edebiliriz.
Sızma testi araçları incelemeye başlayalım.
1- Netsparker
2006 yılında Türk vatandaşı olan Ferruh Mavituna tarafından geliştirilen sızma testi araçlarından biridir.
Yazdıkları başarı hikayesi ile dünya üzerinde ün kazanan Netsparker. Şirketler,kişiler tarafından çokça tercih edilen araçtır.
Ülkemizden çıkarak global olarak başarılara imza atan Ferruh Mavituna’ya buradan başarıların devamını diliyoruz.
Netsparker programı Penetrasyon testi araçlarında en iyi programdır.
SQL,XSS,LFI,RFI, CRLF, Zararlı Shell,admin paneli,dizin yollarını tespit edebilmektedir.
Netsparker Kullanımı kolaydır.
2- Acunetix
2004-2005 yıllarında geliştirilmiş sızma testi araçlarından biridir.
2018 yılında Netsparker ve Acunetix’in ortak çatı altına girmesi ile bir nevi benzer oldular.
Netsparker ile benzerlik gösterir, içerisinde SQL,Blind SQL,XSS,RFI,LFI,Zararlı shell,dizin yollarını tespit edebilir
Acunetix kullanımı kolaydır.
3- Vega
Java ile yazılmış, ücretsiz, açık kaynak güçlü pentest aracıdır.
Otomatik olarak taramayı başlatarak site de ki SQL,XSS,SSL,LFI,RFI,Shell tespit eder.
Oysa program linux üzerinden yapılan pentest testlerinde hızlı çalışır ve açıkları tespit etme süresi düşüktür.
En popüler sızma testi araçları arasında popülerdir.
Resmi Sitesi: Vega
4- Burpsuite
Burpsuite, Java ile yazılmıştır. Sızma testi araçlarında en güçlü araçlardan biridir.
Brute force, SQL, Blind SQL, XSS açıkları tespit etmek için sıkça tercih edilir.
Bug bounty ile uğraşanların favori araçlarındandır.
Çünkü birçok açığı hızlı tespit eder.
Bu yüzden internette kullanım ve kurulum videolarını izleyebilirsiniz.
5- Owasp Zap
Kali linux araçları içerisinde iyi araçlardan birisi olan Owasp Zap, açık kaynaklı web güvenlik tarayıcısıdır.
Kullanımı kolaydır sızma testi alanına yeni girmiş kişiler tarafından tercih edebilir, profosyenel olanlar daha işlevsel programı kullanabilir.
SQL,XSS,LFI,RFI, açıklarını rahatlıkca tespit eder.
6- Nikto
Nikto, güçlü web tarayıcılarından birisidir.
Fakat Kullanımı kolaydır.
Güçlü olması nedeniyle hedef sitede ki SQL,XSS,RFI,LFI açıklarını tespit eder.
7- Nessus
Nessus, ağ zafiyetlerinde tespit etmek için kullanılan araçlardan biridir.
Genel amacı, bilgisayar ağlarında, iç ağlarda güvenlik açıklarını tespit eder.
Fakat birçok yerel ağ içerisinde pluginleri kullanarak zafiyetleri tespit edebilirsiniz.
Hatta Nmap’a göre daha işlevseldir, açıkların detaylı bilgilerini vererek uyarmaktadır.
8- Nmap
Nmap, bilgisayar ağlarını taramak için kullanılan güvenlik araçlarından birisidir.
Nmap ile hedef site/sunucuda ki portları, port versiyonları, işletim sistemi, güvenlik duvarlarını keşif eder.
Yalnız port versiyon tespiti ile size exploit yapabileceğiniz versiyonları belirtmektedir.
Ancak parametleri fazla olsa da kullanımı kolaydır. Profosyenellerin Sızma Testi Araçları .
9- Metasploit
Metasploit, sızma testi aşamalarında kullanılan önemli araçlardan birisidir.
Hedef sistemde zafiyet tespiti, exploit bulma, backdoor oluşturma, hedef sisteme erişme,yönetme gibi birçok işlevi vardır.
Üstelik tespit edilen açıklardan sonra direkt metasploit aracılığıyla hedef sistemi ele geçirebilirsiniz.
10- SQLMAP
Sqlmap, SQL açıklarında sıkça kullanılan araçlardan birisidir.
İçerisinde bulunan WAF atlayıcılar güvenlik duvarlarını bypass ederek hedef sitenin veritabanına erişmenizi sağlar.
Üstelik SQL açıklarını sömürmede en güçlü araçtır.