OWASP ZAP ve Selenium WebDriver ile Güvenlik Testi

0
699
Görüntüleme

Merhaba Arkadaşlar,

Bu makalemde selenium ile koşturulan testleri ZAP ile güvenlik testine tabi tutmayı anlatacağım. Öncelikle OWASP nedir onu açıklayalım. Açık Web Uygulama Güvenliği Projesidir. OWASP topluluğu güvensiz yazılımların oluşturabileceği sorunlara karşı mücadele etmek amacıyla kurulmuştur. 15 Yıllık bir geçmişi vardır. Bu topluluk ZAP (Zed Attack Proxy) adında bir araç geliştiriyor ve bu aracın amacı web uygulamalarının güvenlik testini yapmak.

OWASP community ile ilgili görsel sonucu

 

Evet OWASP ZAP ı kısaca anlattık şimdi de gelelim bu testi nasıl yapacağımıza 🙂

Ön koşul : Aşağıda bulunan işlemleri yapmadan önce bilgisayarınızda Java kurulu olması gerekiyor.

Daha sonra aşağıda bulunan dependency i maven projemizin pom.xml dosyasına ekleyelim.

 

  • Öncelikle buradaki linke tıklayarak ZAP i indirelim.
  • ZAP ı indirdikten sonra kurulumu yapalım.

  • Daha sonra ZAP -> Options -> Local Proxies den adres ve port u set edelim. Ben örnek projemde adres olarak “localhost”, portu ise “40496” olarak ayarladım.

  • Bir sonraki adımda ise selenium projemizi açalım ve @Before method da tarayıcının istediğimiz bir proxy üzerinden internete çıkması için configurasyonu yapalım. Ardından java ile ZAP aracını başlatalım.

– ZAP ı ayağa kaldıran kod ;

 

  • @Test annotation da selenium testimizi koşturalım.  Testimiz koşarken ZAP aracı bi yandan sitedeki güvenlik açıklarını bulmaya çalışacak ve raporlayacak.

  • Testin son aşamasında ise @After method da ZAP api ile html report oluşturalım. (Ben projemde örnek olarak html report oluşturdum fakat ZAP api sayesinde farklı şekillerde raporlarda oluşturabilirsiniz.)

 

  • Son olarak da oluşturulan html raporu  herhangi bir tarayıcıda açalım.

Not : Örnek projeyi buradaki github hesabımdan indirebilirsiniz.

Teşekkürler

Enes Aydın

CEVAP VER

Yanlış bir e-posta adresi girdiniz!
Lütfen adınızı buraya girin Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.