Burp Suite ve Zed Attack proxy (ZAP) gibi, w3af yazılımı da web application
proxy olarak kullanılabilir. Bu şekilde kullanılan w3af yazılımı gezinti
boyunca tüm URL bilgilerini indexler. Ardından topladığı tüm GET/POST talebi
içeren isteklere kendi inputlarını vererek açıklık taraması
gerçekleştirebilir.
W3af yazılımını proxy olarak
kullanmak için; plugun menüsünden spiderMan ve webSpider eklentileri
aktif edilmelidir. SpiderMan altındaki proxy ayarları girilir.
listenAddress: 127.0.0.1
listenport: 44444
Daha sonra web browser üzerinden proxy ayarları aşağıdaki gibi girilir.
Tarama başlatılır. Sıra bu eklentiye geldiginde browser ayarlarınızı yapın gezintiya başlayın
diye bir uyarı almış olmalısınız. Bu aşamadan sonra browserda taramak
istenilen hedef için varsa login ekranından login olunur ve gezinti
başlanır. Gezinti boyunca w3af proxy olarak çalışacaktır. Taki biz
manuel sonlandırana kadar.
Bu eklentinin sonlandırılması için browserdan 127.7.7.7/spiderMan?terminate= yazmanız yeterli.
Bundan sonra w3af kaldıgı yerden web zaafiyet taramasına devam edicektir.
F. Celal ERDİK <celal.erdik@bga.com.tr>
2 Yorum
Selamlar,
Testiniz bittikten sonra proxy ayarlarını eski duruma almanız gerekli. No proxy seçenegini tekrar seçmelisiniz.
Kolaylıklar.
Merhaba
Belirtilen ayarları aynen yaptım. Ama ayar değişikliğinden sonra net'e giremiyorum. VMware de işlemi yapıyorum. Acaba VMware ayarlarında da düzenleme gerektiren bir nokta mı vardır ?
Saygılar.