Türkiye (Türkçe)
Almanya (German)
Worldwide (English)
Web uygulamaları, dış siber tehditlere karşı en hassas sistemler arasındadır. Bu nedenle düzenli olarak güvenlik taramaları yapılması şarttır. OWASP ZAP (Zed Attack Proxy), üretimsiz ve açık kaynak kodlu bir güvenlik tarama aracıdır. XSS, SQL Injection, CSRF gibi yaygın web açıklarını otomatik olarak tespit edebilir. Bu makalede OWASP ZAP kullanarak bir web sitesinin nasıl taranacağını ve güvenlik açıklarını nasıl bulacağınızı adım adım anlatacağız.
1. OWASP ZAP Nedir?
-
OWASP tarafından geliştirilen açık kaynak bir "web vulnerability scanner" aracıdır.
-
Hem GUI (grafik arayüz) hem de CLI (komut satırı) ile çalışabilir.
-
Hem manuel test (proxy olarak) hem de otomatik tarama yöntemleriyle kullanılabilir.
2. Kurulum
-
Resmi siteden indirilebilir: https://www.zaproxy.org/download/
-
Windows, Linux, macOS için destek sunar.
-
Docker container veya terminal arayüzlü versiyonları da mevcuttur.
3. Web Sitesi Tarama Adımları
A) Otomatik Taramayla Açık Bulma:
-
OWASP ZAP'i başlatın.
-
"Quick Start" sekmesinde hedef URL'yi girin:
https://www.orneksite.com -
"Attack" butonuna tıklayarak taramayı başlatın.
-
Tarama tamamlandığında, "Alerts" sekmesinde tespit edilen açıklar listelenir.
B) Proxy Modu ile Manuel Tespit:
-
OWASP ZAP'i proxy olarak ayarlayın (varsayılan: localhost:8080).
-
Tarayıcı ayarlarından HTTP Proxy'yi
127.0.0.1:8080olarak belirleyin. -
Web sitesini normal olarak gezerek oturumdaki tüm istekleri ZAP'e aktarın.
-
Ardından ilgili istekler üzerinde "Active Scan" yaparak detaylı tarama uygulayabilirsiniz.
4. Tespit Edebileceği Bazı Açıklar
-
Cross-Site Scripting (XSS)
-
SQL Injection
-
Command Injection
-
Directory Traversal
-
Insecure Headers
-
Cookie güvenlik zaafiyetleri
-
Server Banner Disclosure
5. Raporlama
Tarama tamamlandığında şu yollarla rapor alabilirsiniz:
-
GUI üzerinden:
Report > Generate Report -
CLI ile:
zap.sh -cmd -quickurl https://orneksite.com -quickout rapor.html -
HTML, XML veya JSON formatları desteklenir.
6. Dikkat Edilmesi Gerekenler
-
OWASP ZAP, etik testler için kullanılmalıdır. Sahibi olmadığınız veya izniniz olmayan sitelerde kullanırsanız hukuki sorumluluğuyla karşı karşıya kalabilirsiniz.
-
Yoğun taramalar, zayıf sunucularda performans sorunları yaratabilir.
OWASP ZAP, hem yeni başlayanlar için kolay arayüzüyle, hem de uzmanlar için ileri seviye konfigürasyonlarıyla web uygulama güvenlik testlerinde önemli bir aracıdır. Tarama sonucunda elde edilen veriler, geliştiricilerin sistemlerini daha güvenli hale getirmelerine yardımcı olur. Etik kurallar dahilinde kullanıldığında etkili bir süreç yönetimi sağlar.