Kavi Acunetix Web Vulnerability Scanner Sunumu

  • View
    579

  • Download
    0

Embed Size (px)

DESCRIPTION

Acunetix Web Vulnerability Scanner Sunumu

Text of Kavi Acunetix Web Vulnerability Scanner Sunumu

  • 1. Acunetix Web Vulnerability Scanner Gkhan TOPLAR gokhan.toplar@kavi.com.tr
  • 2. Konu Balklar Tehlike ne kadar yakn? nternet gvenlii pazar Acunetix Nedir ve neden kullanlmaldr ? Nasl taramalar yapar ? ne kan zellikleri ? Pazardaki yeri ve balca rakipleri ? Lisanslamas nasl yaplyor ? Acunetix hakknda
  • 3. Tehlike ne kadar yakn?
  • 4. Tehlike ne kadar yakn?
  • 5. nternet Gvenlii Pazar
  • 6. nternet Gvenlii Pazar nternet gvenlii pazar her geen gn hzla byyor. Trkiyede, Gartner tarafndan tahmin edilen pazar pay yaklak 29 milyon usd. Yine aratrmalara gre, Trkiyede internet gvenlii iin kii ba ortalama harcama 1 usd civarnda iken, ABD ve ngilteredeki ortalama harcama ise 10 usd.
  • 7. Acunetix WVS nedir? Dinamik oluturulan web uygulamalarndaki gvenlik aklarn tarayarak, ok detayl analiz yaplmasn ve gelikin raporlar alnmasn salar. Bu sayede, web uygulamasnda, veritaban balantsnda ya da servisteki gvenlik aklarn, gvenlik sorunu ortaya kmadan bulmanz ve kapatmanz salar.
  • 8. Acunetix nedir?Web uygulamalar, gvenlik asndan detaylbir test prosedrne tabii tutulamamaktadr.Acunetix WVS ile bu test ortamn hazrlayabilirve web uygulamasn saldrlara karkoruyabilirsiniz.Web uygulamalarnda ufak bir kod hatas,uygulamann zarar grmesine, veritabanbilgilerine eriime, ve hatta web sunucusunaizinsiz eriime neden olmaktadr.
  • 9. Neden kullanlmaldr ? Gnler Sren Gvenlik Taramalarn 10 Dakikada Yapn. Acunetix Web Vulnerability Scanner sadece web uygulamalarn denetlemekle kalmaz, ayn zamanda web uygulamasnn bulunduu sunucuyu da, tm saldr yntemlerine kar denetler. Tm denetleme sreci, manuel olarak yaplan testlere gre ok ksa zamanda sona erer.
  • 10. Neden kullanlmaldr ?Acunetix Web Vulnerability Scanner ile tmkodlamalarda var olan ve gvenlik tehlikesi yaratabilecekkrlganlklar ortaya kartabilirsiniz. ASP PHP ASP .NET CFM* HTTP/S protokol kullanan ve dier dillerdeyazlm tm siteleri kontrol edebilir!
  • 11. Acunetix nasl taramalar yapar ?
  • 12. Ana Sayfa
  • 13. Site Crawler Site Crawler, Hedef sitedeki tm URLleri tarar. Taranan her URL hakknda detayl bilgi verir. Bulunan hedefler zerinde ilem yaplmasn salar.
  • 14. Site Crawler
  • 15. Target Finder Target Finder, Verilen ip aralnda, verilen portlar tarar. Buna bal olarak, bulunan sunucular ayrca crawler ile tarar.
  • 16. Target Finder
  • 17. Subdomain Scanner Siteye bal tm sub domainleri tarar Bulunan alt alanlarn taranmasn salar. Eer zellikle gizlenmemise, bu alanlarda bulunan sunucularn bilgisini de getirir.
  • 18. Subdomain Scanner
  • 19. Blind SQL Injector Yaplan tarama sonucu ortaya kan SQL injection ihtimallerinin denenmesine yarar. Bu alanda denemeler yaparak, veritabanna balant yaplabilir. Tm veritaban yaps, tablolara eriilebilir.
  • 20. SQL Injector
  • 21. HTTP Editor HTTP/S request/response cycle analizi yaplr. HTTP header bilgileri deitirilerek sunucuya tekrar gnderilebilir. Cookie bilgileri grlebilir.
  • 22. HTTP Editor
  • 23. HTTP Sniffer HTTP Sniffer, Sniffer zellii ile log tutabilir Trap kurarak deiik trafik zelliklerine gre veri ekebilirsiniz.
  • 24. HTTP Sniffer
  • 25. HTTP Fuzzer Sunucuya yksek sayda request/talep gndermeye yarar. Bu talepler, bad ya da invalid talepler olabilir. Bu taleplere deiik trlerde veri eklenebilir; Say serileri String , random string File CharacterBu sayede sral veriye eriim salanabilir.rnek: www.test.com/shop.html?page=urunler&category_id=1919dan balayarak number eklenerek, istenen sayda page request yaplabilir.
  • 26. HTTP Fuzzer
  • 27. Auth Tester Test edilmesi gereken, Login Formu gibi kritik sayfalara login olmaya alr. Dictionary based attack yapar.Bkz: John the Ripperhttp://www.openwall.com/john/
  • 28. Auth Tester
  • 29. ne kan zellikleri zel 404 sayfalarn otomatik olarakalglama. Basitletirilmi tarama sihirbaz Gerek zamanl (Real Time) alan Crawlermotoru Gerek zamanl taranan dosya ve klasrbilgisi XSS, SQL injection gibi zafiyetlerin en sonvaryasyonlar
  • 30. ne kan zellikleri Console modunda alrken, her 10saniyede bir log tutma Sunucu ile balantnn kaybolmasdurumunda bilgilendirme XSS testleri iin byk-kk harf duyarll Yeniden tasarlanan zamanlayc sayesinde,birden ok web sitesinde, ayn senaryolarkullanlarak tarama yaplabilmektedir.
  • 31. Lisanslanmas Nasl ?Small Business Edition: Sadece 1 WebsitesiSmall Business Edition, tek bir sunucu zerinde yklbir web sitesi sahibi ve faaliyet gsteren kurulular iingelitirilmitir.Kk iletmeler iin ideal olan bu srm birkullancnn web taramasn salar.Mteriler veya nc ahslarn sitelerini taramakiin kullanlamaz.
  • 32. Lisanslanmas Nasl ?Enterprise Edition: Snrsz WebsitesiEnterprise Edition birden fazla web sitesi sahibi veiletimi iin gelitirilmitir. Byk organizasyonlar iinideal olan bu rn ayn bilgisayarda web sitelerininsnrsz sayda taramasn salar. Mteriler veya ncahslarn sitelerini taramak iin kullanlamaz.Enterprise Edition x10 Instances: Snrsz WebsitesiEnterprise Edition ve Enterprise Edition x10 Intancesarasndaki fark bu srm ayn bilgisayarda ayn anda 10adete kadar web sitesinin taramasn salar.
  • 33. Lisanslanmas Nasl ?Consultant Edition: Snrsz WebsitesiConsultant Edition, penetrasyon testleri ve gvenlik deerlendirmehizmetleri ile bunlar salamak iin mterilerine ait web sitelerin