W3af Aracını Proxy Olarak Kullanarak Güvenlik Testleri Gerçekleştirme

Burp Suite ve Zed Attack proxy (ZAP) gibi, w3af yazılımı da web application
proxy olarak kullanılabilir. Bu şekilde kullanılan w3af yazılımı gezinti
boyunca tüm URL bilgilerini indexler. Ardından topladığı tüm GET/POST talebi
içeren isteklere kendi inputlarını vererek açıklık taraması
gerçekleştirebilir.

W3af yazılımını proxy olarak
kullanmak için; plugun menüsünden spiderMan ve webSpider eklentileri
aktif edilmelidir.  SpiderMan altındaki proxy ayarları girilir.

listenAddress: 127.0.0.1
listenport: 44444

Daha sonra web browser üzerinden proxy ayarları aşağıdaki gibi girilir.

Tarama başlatılır. Sıra bu eklentiye geldiginde browser ayarlarınızı yapın gezintiya başlayın
diye bir uyarı almış olmalısınız. Bu aşamadan sonra browserda taramak
istenilen hedef için varsa login ekranından login olunur ve gezinti
başlanır. Gezinti boyunca w3af proxy olarak çalışacaktır. Taki biz
manuel sonlandırana kadar.

Bu eklentinin sonlandırılması için browserdan 127.7.7.7/spiderMan?terminate=  yazmanız yeterli.
Bundan sonra w3af kaldıgı yerden web zaafiyet taramasına devam edicektir.

F. Celal ERDİK <celal.erdik@bga.com.tr>