DİZİN TARAMA ARAÇLARI:
HANGİSİ DAHA HIZLI?

Dizin tarama, ister bug bounty (ödül avcılığı) ister sızma testi yapıyor olun, kuşkusuz en önemli adımlardan bir tanesi.

Sadece statik bir web sitesine ev sahipliği yapan bir sunucunun, SQL enjeksiyon yoluyla kimlik bilgilerinin ele geçirilmesine veya dosya yükleme yoluyla shell erişimi vermesine yol açan bir ticketing (biletleme) sistemi gibi kolay hedef olan durumlar ile karşılaşmak mümkün.

Dizin tarama için birçok alternatif araç bulunabiliyor. Hangi aracın daha iyi bir performans sergilediğini gözlemlemek amacıyla bir lab ortamı kurduk ve denedik.

UYARILAR

Sonuçları değerlendirirken göz önünde bulundurmamız gereken birkaç nokta var:

  1. Testler aynı sistemde gerçekleştirildi. Bu nedenle, sonuçlar tutarlı olsa da, lütfen bunların mevcut kurulumdaki durumu gösterdiğini unutmayın. İnternet bağlantı hızınıza, hedef web sitesi platformuna, CPU özelliklerine ve diğer farklı faktörlere bağlı olarak sonuçlar değişebilir.
  2. Testler, yerel bir ağ üzerinde ve bir HTTP hedefi kullanılarak gerçekleştirilmiştir. Bu araçların SSL el sıkışmalarını nasıl ele aldığına bağlı olarak sonuçlar değişebilir.
  3. Araçlar muhtemelen kişiselleştirilebilir ve daha verimli kullanılabilir, ancak karşılaştırılabilir sonuçlar elde etmek için varsayılan değerler korunmuştur. (Bireysel yanıtların gizlendiği durumlar dışında.)

TEST ORTAMI

Test ortamı olarak Ubuntu üzerine kurulu bir Apache sunucusu kullanılmıştır.

Sunucuda 3 statik sayfa test edilmiştir ancak testin amacı süreyi ölçmek olduğu için dönen sonuçlar hesaba katılmamıştır. Araçların kelime listesinden geçmesi için geçen süre ölçülmüştür.

KARŞILAŞTIRMA YAPILAN DİZİN TARAMA ARAÇLARI

Test esnasında en sık kullanılan araçların karşılaştırılması hedeflenmiştir. Alfabetik sıralama aşağıdaki gibidir:

  • dirb
  • feroxbuster
  • gobuster
  • wfuzz

Bu araçlar, Kali Linux’ta kendi varsayılan ayarları ile kullanılmış ve Kali içerisinde bulunan  /usr/share/wordlists/dirbuster klasörü altında erişilebilen directory-list-1.0.txt kelime listesi (wordlist) ile test edilmiştir. 

Test için kullanılan kelime listesi içerisinde 141.708 kelime bulunmaktadır.

DİZİN TARAMA ARAÇ KARŞILAŞTIRMA SONUÇLARI

DIRB

Süre: 10 dakika 47 saniye

Aşağıdaki resimde görülebileceği gibi, Dirb aracımız kelime listesi için bir uyarı verdi ve kelime listesini “çok büyük” olarak nitelendirdi. Listenin taranmasının uzun süreceği konusunda uyarıyı da görebiliyoruz.

Araç, bu uyarıya rağmen taramaya devam etmek için -w flag ile tarama yapılması talep etti:

Kullanılan Komut: dirb http://IP /usr/share/dirbuster/wordlists/directory-list-1.0.txt

Yapılan dizin tarama işleminin tamamlanma süresi aşağıdaki ekran görüntüsünde sağda yer alan zamanlayıcıda 10 dakika 47 saniye olarak görülebilmektedir:

Dizin Tarama: Dirb

FEROXBUSTER

Süre: 55 saniye

Kullanılan Komut: feroxbuster –url http://IP -w /usr/share/dirbuster/wordlists/directory-list-1.0.txt

Dizin Tarama: Feroxbuster

Yapılan dizin tarama işleminin tamamlanma süresi yukarıdaki ekran görüntüsünde sağda yer alan zamanlayıcıda 55 saniye olarak görülebilmektedir.

GOBUSTER

Süre: 19 saniye

Bağlantı: https://github.com/OJ/gobuster

Kullanılan Komut: gobuster dir -u http://IP -w /usr/share/dirbuster/wordlists/directory-list-1.0.txt

Yapılan dizin tarama işleminin tamamlanma süresi yukarıdaki ekran görüntüsünde sağda yer alan zamanlayıcıda 19 saniye olarak görülebilmektedir.

Dizin tarama: Gobuster

WFUZZ

Süre: 2 dakika 3 saniye

Bağlantı: https://wfuzz.readthedocs.io/en/latest/

Kullanılan Komut: wfuzz –hc 404,200 http://IP -w /usr/share/dirbuster/wordlists/directory-list-1.0.txthttp://IP/FUZZ

Dizin tarama: wfuzz

Yapılan taramanın tamamlanma süresi yukarıdaki ekran görüntüsünde sağda yer alan zamanlayıcıda 2 dakika 3 saniye olarak görülebilmektedir.

SONUÇ DEĞERLENDİRMESİ

Dirb, CTF write-uplarında en sık karşımıza çıkan araç. Ancak, yukarıdaki sonuçlardan da görülebileceği üzere gerçek dünyaya ait bir kelime listesinde en iyi performansa sahip değil.

Test esnasında denediğimiz bir diğer araç olan Ffuf ise – aşağıdaki ekran görüntüsünde incelenebileceği üzere – 1 saatin sonunda hala taramaya devam ediyor olduğundan testten çıkartıldı.

Dizin tarama: uff

Gobuster 19 saniye gibi kısa bir süre içerisinde sonuç vererek dizin tarama araçları arasında en hızlısı olarak görülüyor. Ardından 55 saniye ile Feroxbuster geliyor. Wfuzz 2 dakikadan biraz daha uzun sürmesine karşın kullanışlı, özellikle dizin taraması yapılmak istenen URL’nin belirli bir konuma değer eklemeyi gerektirdiği durumlarda kullanılabilir (fuzz yapmak istenilen konuma FUZZ kelimesi yerleştirilerek). Wfuzz’un bir diğer önemli ve güzel özelliği ise simultane olarak birden fazla kelime listesi kullanılabilmesi.

Sonuç; Bizim favorimiz Gobuster.

Başa dön