Header Ads

WAF (Web Application Firewall) Nedir ? Nasıl Kullanılır ?

Merhaba CyberGuilty Okurları ;

Bu makalemizde bilgi toplama işlemleri makalelerine kaldığımız yerden devam ediyoruz. Bugün ki konumuz;
  • WAF Nedir ? Nasıl Kullanılır ?
Web uygulama güvenlik duvarı tespiti aslında bilgi toplama aşamalarının başında gelmektedir. Bu sayede işleyişimize bir yön vermiş oluruz. Yani Firewall olmayan bir sisteme yapılan işlemlerin bazıları başarısız olmaktadır. Bu nedenle bu taramayı yapmamız büyük önem taşır.
Bu tarama bir araç ile rahatça yapabiliriz. "wafw00f" aracı belirli firewall sistemlerini belirlediğimiz url'ler üzerinde taramaktadır.
Konsola "wafw00f -l" yazarak hangi firewall sistemlerini tespit edebildiğini görebilirsiniz. Toplam 22 adet sistemi tespit edebiliyor. En bilindik ModSecurity gibi sistemleri de test edebilir. Test edeceğiniz firmada örnek olarak; SQL Injection açığı tespit ettiniz ve sızma işlemine geçiyorsunuz. Sql Injection denemelerinde eğer engeller ile karşılaşıyorsanız, öncelikle bu araç ile sistemin ne tür bir Firewall ile korunduğunu tespit edebilirsiniz.
Taramamızı "wafw00f www.domain.com" şeklinde gerçekleştirdik. Görüldüğü gibi sonuç olarak Citrix Netscaler yazılımı ile sitenin korunduğu görülüyor. Böylelikle basit bir şekilde taramamızı gerçekleştirdik.


CyberGuilty INC. Blogger tarafından desteklenmektedir.