Cross Site Scripting (XSS) ve SQL Injection (SQLI) açıkları, şuan ki web uygulamalarının birçoğunda bile mevcut olan açıklardır. Eskinden bu açıkları bulmak için manuel olarak kaynak kodun satır satır denetlenmesi gerekiyordu ve bu türden güvenlik açığı arama işlemi çok yorucuydu. Şimdi ise bu işlemleri bizim yerimize otomatik olarak yapan Pixy var.
Pixy Nedir?
Pixy, PHP 4 için yazılmış kaynak kodlarda SQLI ve XSS açıklarını bulmak için otomatik tarama yapan bir Java programıdır. Php dosyanızı veya kaynak kodunuzu Pixy'ye gösterdikten sonra kaynak koddaki muhtemel açıklar taranıyor ve bulunan açıkların listelendiği bir rapor oluşturuluyor. Tespit edilen güvenlik açığını anlayabilmeniz için bu rapora ilâve bilgiler de ekleniyor. Böylece php uygulamanızın hangi satırında XSS veya SQLI açığı olduğunu öğrenebiliyorsunuz.
Pixy ile açık arama işlemini nasıl yapabilirim?
Pixy ile güvenlik açığı aramak için 2. seçeneğiniz var:
1. seçenekte php dosyanızı Pixy'nin Web Interface sayfasından upload ediyorsunuz. Alternatif olarak, analiz etmek istediğiniz php dosyasının kaynak kodunu doğrudan kopyala-yapıştır da yapabilirsiniz. Bundan sonra yapmanız gereken tek şey 'Analyze XSS!' butonuna tıklamak. Birkaç dakika içerisinde yapılan analize ait bir raporu yeni bir sayfada görebilirsiniz. Yalnız, bu şekilde yapılan analizde SQLI açığına karşı tarama yapılmadığına dikkat edin!
2. seçenek ise biraz daha sağlam bir çözüm sunuyor. Bu seçenekte Pixy'nin Download sayfasından Pixy'yi bilgisayarınıza indiriyorsunuz. Yazının başlarında Pixy';nin bir Java programı olduğunu söylemiştim hatırlarsanız. Bu yüzden Pixy'nin çalışabilmesi için bilgisayarınızda Java Runtime Environment (JRE) yüklü olmalıdır. Yüklü değilse ilk önce JRE'yi yüklemelisiniz.
Pixy'yi bilgisayarıma indirdim. JRE de yüklü. Ya şimdi?
Meselâ test.php isimli bir dosyayı güvenlik açıklarına karşı taratmak istiyor olalım. Zip olarak sıkıştırılmış haldeki Pixy’yi herhangi bir klasöre açın. Diyelim ki "c:\pixy" klasörüne açtınız. İlk önce test.php dosyasını “c:\pixy” klasörü içerisine kopyalayın. Daha sonra komut istemine giriş yaptıktan sonra "c:\pixy" klasörüne gelin. Ve alttaki komutu yazıp Enter tuşuna basın.
Pixy Nedir?
Pixy, PHP 4 için yazılmış kaynak kodlarda SQLI ve XSS açıklarını bulmak için otomatik tarama yapan bir Java programıdır. Php dosyanızı veya kaynak kodunuzu Pixy'ye gösterdikten sonra kaynak koddaki muhtemel açıklar taranıyor ve bulunan açıkların listelendiği bir rapor oluşturuluyor. Tespit edilen güvenlik açığını anlayabilmeniz için bu rapora ilâve bilgiler de ekleniyor. Böylece php uygulamanızın hangi satırında XSS veya SQLI açığı olduğunu öğrenebiliyorsunuz.
Pixy ile açık arama işlemini nasıl yapabilirim?
Pixy ile güvenlik açığı aramak için 2. seçeneğiniz var:
1. seçenekte php dosyanızı Pixy'nin Web Interface sayfasından upload ediyorsunuz. Alternatif olarak, analiz etmek istediğiniz php dosyasının kaynak kodunu doğrudan kopyala-yapıştır da yapabilirsiniz. Bundan sonra yapmanız gereken tek şey 'Analyze XSS!' butonuna tıklamak. Birkaç dakika içerisinde yapılan analize ait bir raporu yeni bir sayfada görebilirsiniz. Yalnız, bu şekilde yapılan analizde SQLI açığına karşı tarama yapılmadığına dikkat edin!
2. seçenek ise biraz daha sağlam bir çözüm sunuyor. Bu seçenekte Pixy'nin Download sayfasından Pixy'yi bilgisayarınıza indiriyorsunuz. Yazının başlarında Pixy';nin bir Java programı olduğunu söylemiştim hatırlarsanız. Bu yüzden Pixy'nin çalışabilmesi için bilgisayarınızda Java Runtime Environment (JRE) yüklü olmalıdır. Yüklü değilse ilk önce JRE'yi yüklemelisiniz.
Pixy'yi bilgisayarıma indirdim. JRE de yüklü. Ya şimdi?
Meselâ test.php isimli bir dosyayı güvenlik açıklarına karşı taratmak istiyor olalım. Zip olarak sıkıştırılmış haldeki Pixy’yi herhangi bir klasöre açın. Diyelim ki "c:\pixy" klasörüne açtınız. İlk önce test.php dosyasını “c:\pixy” klasörü içerisine kopyalayın. Daha sonra komut istemine giriş yaptıktan sonra "c:\pixy" klasörüne gelin. Ve alttaki komutu yazıp Enter tuşuna basın.
- run-all.bat test.php > rapor.txt
Kısa bir sürede analiz işlemi tamamlanacak ve"c:\pixy" klasöründe "rapor.txt" dosyası oluşturulacaktır. Bu dosyadan test.php dosyasının sonuçlarını öğrenebilirsiniz.
Sonuç
Pixy, php ile yazılmış web uygulamalarında bulunabilen XSS ve SQLI açıklarını hızlı bir şekilde tespit edebilmemizi sağlıyor. Gerçekten büyük bir zaman kazancınız oluyor. Kullanması da kolay olduğu için size de tanıtmak istedim. Bitirmeden önce şunu da eklemek istiyorum. Eğer ki bilgisayarınızda PERL yüklüyse Pixyyi daha geniş bir şekilde kullanabiliyorsunuz. Daha fazla bilgiyi Pixy'nin Documentation sayfasında bulabilirsiniz.
Pixy URL: http://pixybox.seclab.tuwien.ac.at/pixy/
Kaynak: eburhan
Sonuç
Pixy, php ile yazılmış web uygulamalarında bulunabilen XSS ve SQLI açıklarını hızlı bir şekilde tespit edebilmemizi sağlıyor. Gerçekten büyük bir zaman kazancınız oluyor. Kullanması da kolay olduğu için size de tanıtmak istedim. Bitirmeden önce şunu da eklemek istiyorum. Eğer ki bilgisayarınızda PERL yüklüyse Pixyyi daha geniş bir şekilde kullanabiliyorsunuz. Daha fazla bilgiyi Pixy'nin Documentation sayfasında bulabilirsiniz.
Pixy URL: http://pixybox.seclab.tuwien.ac.at/pixy/
Kaynak: eburhan
0 yorum:
Yorum Gönder