OWASP Nedir? OWASP Web Uygulaması Kurulumu ve Kullanımı-1

OWASP, Open Web Application Security Project’nin kısaltılmış halidir. Açık web uygulama güvenliği projesi anlamına gelen OWASP, güvensiz yazılımların oluşturduğu problemlere karşı mücadele etmek için kurulmuş bir topluluktur. OWASP’ın tüm araçları, dokümanları, listeleri, ve bölümleri ücretsiz olarak her yazılım güvenliği çalışanı ve meraklısına sunulmuştur.
OWASP hiç bir teknoloji şirketine bağlı olmayıp OWASP topluluğun ihtiyaçlarını karşılamak için kurulmuştur.2013 yılı için zafiyet top 10 listesi aşağıdaki gibidir.




OWASP, web uygulamalarında karşımıza çıkan bu açıklıkları gerek açıklıkların tanıtılması gerekse de pentest alanında deneyim kazanmak için uğraş veren kişilere bir test alanı hazırlamak için bu web uygulamasını gerçekleştirmiştir.
DVWA web test uygulamasına göre daha kapsamlı ve dokümantasyon olarak  daha zengin kaynaklıdır. Ayrıca OWASP var olan açıklıkları yenileyerek web uygulamasını zenginleştirmektedir.
OWASP Web Uygulamasının Kurulumu
1- Bu adresten mutillidae adındaki zip dosyayı indirin.
2-Bu adrestende XAMP server programını indirin.
3-XAMP programının kurulumu yapıldıktan sonra  httpd klasörünün içine .zip'ten çıkarılan mutillidae dosyası aktarılır.
4- http://localhost/mutillidae adresine gidince Setup/reset the database linkine tıklanır.



5-Tekrar  http://localhost/mutillidae adresine gidince uygulama kurulmuş olur.


Login işlemi için kullanıcı listesi
  1.  'admin', 'adminpass'
  2. 'adrian', 'somepassword'
  3. 'john', 'monkey'
  4. 'ed', 'pentest'
WAMP Server ile Kurulumu;
WAMP server programı kurulur ve veritabanı bölümünden "nowasp" adında bir veritabanı oluşturulur. Zip ten çıkarılan dosya /www klasörünün içine atılır.


Yukarıdaki gibi hata alınırsa "C:\wamp\www\mutillidae1\classes" adres gidip MySQlHandler.php dosyasında aşağıdaki resimde "static public $mMySQLDatabasePassword = " "; " alana MYSQL parolası yazılır.


Sayfayı yenileyince hata ortadan kalkar. Reset/setup the database linkine tıklayınca kurulum tamamlanır.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Wamp Server ile Yerel Ağınızda Site Yayınlama

Resim
Pentest işlemlerinde test ortamının elinizin altında olması anlık müdahale durumunun bulunması,etki tepkiyi hızlı ölçebilme,yapılan pentest işlemlerinde gerek savunma gerek saldırı vektörlerinin herhangi bir risk taşımadan gerçekleştirebilmesi adına Wamp server vb. araçlarla kendi yerel ağınızda hem sizin hem de yereldeki diğer kullanıcıların kullanacağı site veya siteleri oluşturabilirsiniz. Bunun için wamp server indirin ve kurun. Kurduktan sonra Windows ortamı için C:\\wamp\www dizi oluşacaktır. Test etmek veya kullanmak istediğiniz site dosyalarını buraya atın. Daha sonra wamp server ın kurulu olduğu bilgisayarda wamp server da apache içinde httpd.conf dosyasında aşağıdaki alanı bulun; #    Require all granted #   onlineoffline tag - don't remove      Order Deny,Allow      Deny from all      Allow from 127.0.0.1      Allow from ::1      Allow from localhost </Directory> Aşağıdaki şekle getirin. #    Require all granted #   onlineoffline tag - don't
Devamı

Web Pentest İşlemlerinde Burp Suite Kullanımı-1

Resim
Burp Suite, pentest işlemlerinde en çok kullanılan proxy programıdır. Web işlemleri gerçekleştirirken istemci-sunucu mimarisini kullanırız. Bir web sitesini incelemeye başladığımız zaman giden gelen verilere,isteklere,isteklerin gidiş dönüş şekillerine göre işlemler gerçekleştiririz. Pentest işlemlerin sağlıklı işlemesi için istemci ile sunucu arasında yapılan her işlemin gerek istemciden çıkıp sunucuya varmadan kontrolü gerekse de sunucudan istemciye dönen cevap istemciye varmadan araya girerek bakılması çok önemlidir. Burp Suite işte burada devreye girer ve istemci sunucu arasındaki tüm verileri kendi üzerinden geçirerek kendisinde mevcut bulunan özellikler ile test edilmesini sağlar.
Devamı