• Kategori: Güvenlik
  • Eyüp ÇELİK
  • Gösterim: 5621

IBM AppScan Kurulumu (Web Pentest Tools)

Appscan web uygulama güvenliğini sağlamak üzere IBM firması tarafından yazılmış çok güçlü bir zafiyet tespit sistemidir. Web tabanlı güvenlik zafiyet kontrol sistemi ilk defa IBM firmasının AppScan adlı ürünü sektördeki yerini almıştır. Bugün kullandığımız tüm zafiyet kontrol sistemlerine IBM fikir hocalığı yapmaktadır.

Teknolojinin gelişmesi ile birlikte güvenlik ihmale gelmeyecek kadar kritik bir noktaya kadar ilerledi. Ticari otomasyon sistemlerinin web alanına kaymasından sonra web uygulamaları son yıllarda büyük bir yükselişe geçti. Bu durum web uygulamalarında bulunan zafiyetlerin kötü niyetli kullanıcılar tarafından kendi çıkarları çevresinde kullanmalarına neden oldu. Son yıllarda yapılan saldırılara bakacak olursak eğer, web uygulamalarına yapılan saldırıların büyük bir şekilde arttığını göreceğiz.

Bende web uygulamaları tarayıcısı olarak dünyanın en gelişmiş pentest aracı olan AppScan’in kurulumunu anlatma gereği duydum. Türkiye’de bu konu hakkında herhangi bilgilendirici bir makale olmadığından dolayı, web güvenlik meraklılarının bu konuya yabancı kalmamaları gerektiğini düşünüyorum.

Öncelikle http://www-01.ibm.com/software/awdtools/appscan/enterprise/ adresine giriyoruz. Sağ üst köşede bulunan Register linkinden kayıt oluyoruz. Ardından girmiş olduğumuz mail adresine gönderilen aktivasyonu tıklayarak üyeliğimizi aktif ediyoruz. Sonra http://www-01.ibm.com/software/awdtools/appscan/enterprise/ adresine yeniden giriyoruz. Download kısmının hemen altında yer alan Trial’i tıklıyoruz.

Trial’i tıkladıktan sonra genişçe bir sayfa açılacak, yukarıdaki Download yazan butonu tıklayarak indirme bağlantısına gidiyoruz.

Yukarıdaki gibi seçimleri yaptıktan sonra Submit’i tıklıyoruz.

3 dosyayı da seçtikten sonra I agree’ı işaretledikten sonra I confirm’i tıklıyoruz. Yeni bir sayfa açılacak ve Java’nın çalışması için sizden onay isteyecek.

Bu ekranda Run’ı tıklıyoruz.

Dosyayı nereye kaydedeceğini Browse’dan seçtikten sonra OK tıklıyoruz ve tüm indirme işlemlerinin bitmesini bekliyoruz.

İndirmiş olduğumuz dosyada RLKSSERVER_EVAL_SETUP.rar dosyasını rar dan çıkarıyoruz. Rar dan çıkardığımız klasörün içine girip, launchpad.exe dosyasını çalıştırıyoruz.

Program yukarıdaki gibi çalışacaktır. Buradan Install or Update IBM Rational License Server’ı tıklıyoruz.

Bu ekranda Sürüm 1.3.3’ü seçip ileriyi tıklıyoruz.

Lisans sözleşmesini kabul edip ileriyi tıklıyoruz.

Kurulumun yapılacağı klasör konumu gelecektir. Bu klasörü değişmemenizi tavsiye ederim. Klasörü seçtikten sonra ileri diyoruz.

Bu ekranda kurulumun özet bilgileri gösterilecek. Kur’u tıklıyoruz.

Kurulum bittikten sonra Installation Manager’ı Yeniden Başlat’ı tıklıyoruz.

Installation Manager yeniden başlayınca yukarıdaki ekran gelecektir. Bu ekranda Kur’u tıklıyoruz.

Sürüm 8.1.1’i seçip ileriyi tıklıyoruz.

Bu ekranda ileriyi tıklıyoruz.

Lisans sözleşmesini kabul edip ileriyi tıklıyoruz.

Kurulum yapılacak klasörde herhangi bir değişiklik yapmadan ileriyi tıklıyoruz.

Yeni grup oluşturmasına izin verip ileriyi tıklıyoruz.

Kullanmak istediğimiz diller var ise en üstten seçiyoruz. İngilizce dışında yukarıdaki dillerden herhangi birini kullanmayacaksak herhangi bir şey seçmeden ileriyi tıklıyoruz.

Özet bilgi yukarıdaki gibi olacak. İleriyi tıklayarak son aşamaya geçiyoruz.

Son aşamada Kur’u tıklayarak kurulum işlemini başlatıyoruz. Kurulum işlemi bittikten sonra Son’u tıklayıp kurulumu sonlandırıyoruz. Ardından açık olan tüm IBM programlarını kapatıyoruz.

İndirmiş olduğumuz AppScan_Setup.exe dosyasını açıyoruz.

Kurulum dili olarak ingilizceyi seçip OK tıklıyoruz.

Dosyaların dizine çıkarılmasını bekliyoruz.

Dosyalar dizine çıkarıldıktan sonra Next’i tıklıyoruz.

Lisans sözleşmesini kabul ettikten sonra Next’i tıklıyoruz.

Gelen ekranda JSA kurulumunu kabul ediyoruz. Burası çok önemlidir. Çeşitli güvenlik modüllerinin çalışması için JSA ihtiyaç vardır. Next’i tıklayıyoruz. JSA lisans sözleşmesi gelecektir. Bu sözleşmeyi de kabul edip ileriyi tıklıyoruz. Ardından program kurulum klasörü gelecektir. Hiçbir değişiklik yapmadan Next’i tıklıyoruz. (Ben değişiklik yapmanızı önermiyorum. Ancak yine de siz bilirsiniz)

Finish diyerek kurulumu sonlandırıyoruz. Ardından indirmiş olduğumuz GSC_Setup.exe dosyasını çalıştırıyoruz.

Kurulum dosyası olarak Türkçe’yi seçip Tamam’ı tıklıyoruz. Kurulum hazırlanıncaya kadar bekliyoruz. Gelen ekranda Next’i tıklıyoruz. Lisans sözleşmesini kabul edip ileriyi tıklıyoruz. Ardından Yükle’yi tıklıyoruz. Yükleme bittikten sonra Son’u tıklayıp kurulum işlemini bitiriyoruz.

AppScan kurulumunun biraz uzun olduğunun farkındayım ancak, sektördeki en iyi güvenlik tarayıcısı olması sebebi ile bir çok modül ve bileşeni içerisinde barındırmaktadır. Bu da uzunca bir kurulum anlamına geliyor.

Kurulum işlemini bitirdikten sonra Başlat\Tüm Programlar\ IBM Rational AppScan\ IBM Rational AppScan 8.0’ı tıklayarak AppScan’i çalıştırıyoruz.

Program yukarıdaki gibi açılacaktır. Kurulum işlemi biraz uzunca sürdüğünden dolayı, AppScan kullanarak bir web sitesinde pentest’in nasıl yapılacağını bir başka makalemde anlatacağım. AppScan ile Web Pentest makalem yayınlanıncaya kadar sizde AppScan’i kurmuş ve program hakkında bilgi edinmiş olursunuz.

Güvenli günler dilerim.

Comments

0 Hakan 18-07-2018 18:35 #1
2018 senesi içinde IBM App Scan en iyi web zafiyet tarama yorumunuz geçerli midir?
Quote
0 Eyüp Çelik 13-08-2018 01:35 #2
Alıntılandı Hakan:
2018 senesi içinde IBM App Scan en iyi web zafiyet tarama yorumunuz geçerli midir?


Hayır, kesinlikle değil. IBM AppScan en iyi web uygulaması zafiyet tarama aracı değil. Rakiplerine göre oldukça fazla false-positive sonuçlar çıkarmaktadır. Web uygulama zafiyet tarama araçlarından Netsparker, alanındaki en iyi araçlardan biridir.
Quote

Yorum ekle


Güvenlik kodu Yenile

Back to top