- 25 Kasım 2025
- 996
- 34
SSRF, yani Server-Side Request Forgery, web uygulamalarında sıkça rastlanılan bir güvenlik açığıdır. Bu tür bir açık, kötü niyetli kullanıcıların sunucu üzerindeki istekleri manipüle etmesine olanak tanır. Yani, bir saldırgan sunucuya, sizin belirttiğiniz bir kaynağa erişim sağlatabilir. Hedefe yönelik taramalar yaparak SSRF açığını tespit etmek için bir tarama scripti oluşturmak, güvenlik testleri için oldukça faydalıdır. Peki, bu scripti nasıl geliştirebiliriz?
Öncelikle, Python programlama dilini kullanarak basit ama etkili bir SSRF tarama scripti yazmak mümkün. Python’un `requests` kütüphanesi, HTTP istekleri göndermek için oldukça kullanışlıdır. Scripti yazmaya başlamadan önce, hedef URL’yi ve test edilecek potansiyel URL’leri belirlemek önemlidir. Kullanıcıdan alınan hedef URL’ye, farklı URL’ler üzerinden istekler göndererek yanıtları incelemek gerekir. Örneğin, `
`, `
` gibi iç IP adreslerine yönlendirme yaparak sunucunun bu isteklere nasıl yanıt verdiğini gözlemlemek, SSRF açığının olup olmadığını anlamak için kritik bir adımdır.
Scriptin temel yapısını oluşturduktan sonra, döngü ile hedef URL’ye istek göndermek için bir yapı kurmalısınız. Her bir istek sonrası, yanıtın durum kodunu kontrol etmek önemlidir. Örneğin, `response.status_code` ile gelen yanıtın 200 olup olmadığını kontrol edebiliriz. Eğer yanıt 200 ise, sunucunun isteği gerçekleştirdiğini ve dolayısıyla SSRF açığının var olabileceğini düşünebiliriz. Yanıt içeriğini de incelemek, sunucunun hangi bilgileri döndürdüğünü görmek açısından faydalıdır. Yanıt içeriğinde, beklenmedik bilgiler veya hata mesajları varsa, bu durum şüphe uyandırmalıdır.
Ayrıca, scriptinize loglama işlevi eklemek de faydalı bir adım olacaktır. Her isteğin yanıtını ve isteğin gönderildiği URL’yi kaydederseniz, daha sonra bu verileri analiz etmek kolaylaşır. Python’da basit bir loglama işlemi için `logging` kütüphanesini kullanabilirsiniz. Bu, hem hataları hem de başarıyla tamamlanan istekleri takip etmek açısından kritik bir araçtır. Yani, geliştirdiğiniz script sadece bir tarayıcı değil, aynı zamanda bir gözlemci olmalı.
Unutmayın ki, bu tür testleri yaparken etik kurallara dikkat etmek gerekiyor. Yani, sadece izin aldığınız sistemlerde bu tür taramalar gerçekleştirin. Aksi halde, karşılaşabileceğiniz hukuki sonuçlar ciddi olabilir. Sonuç olarak, SSRF tarama scripti oluşturmak, web uygulamalarının güvenliğini sağlamak adına önemli bir adımdır. Ancak, bunun elde edilmesi gereken bir bilgi olduğunu ve sürekli güncellenmesi gerektiğini aklınızda bulundurmalısınız…
Öncelikle, Python programlama dilini kullanarak basit ama etkili bir SSRF tarama scripti yazmak mümkün. Python’un `requests` kütüphanesi, HTTP istekleri göndermek için oldukça kullanışlıdır. Scripti yazmaya başlamadan önce, hedef URL’yi ve test edilecek potansiyel URL’leri belirlemek önemlidir. Kullanıcıdan alınan hedef URL’ye, farklı URL’ler üzerinden istekler göndererek yanıtları incelemek gerekir. Örneğin, `
Bu bağlantı ziyaretçiler için gizlenmiştir. Görmek için lütfen giriş yapın veya üye olun.
Bu bağlantı ziyaretçiler için gizlenmiştir. Görmek için lütfen giriş yapın veya üye olun.
Scriptin temel yapısını oluşturduktan sonra, döngü ile hedef URL’ye istek göndermek için bir yapı kurmalısınız. Her bir istek sonrası, yanıtın durum kodunu kontrol etmek önemlidir. Örneğin, `response.status_code` ile gelen yanıtın 200 olup olmadığını kontrol edebiliriz. Eğer yanıt 200 ise, sunucunun isteği gerçekleştirdiğini ve dolayısıyla SSRF açığının var olabileceğini düşünebiliriz. Yanıt içeriğini de incelemek, sunucunun hangi bilgileri döndürdüğünü görmek açısından faydalıdır. Yanıt içeriğinde, beklenmedik bilgiler veya hata mesajları varsa, bu durum şüphe uyandırmalıdır.
Ayrıca, scriptinize loglama işlevi eklemek de faydalı bir adım olacaktır. Her isteğin yanıtını ve isteğin gönderildiği URL’yi kaydederseniz, daha sonra bu verileri analiz etmek kolaylaşır. Python’da basit bir loglama işlemi için `logging` kütüphanesini kullanabilirsiniz. Bu, hem hataları hem de başarıyla tamamlanan istekleri takip etmek açısından kritik bir araçtır. Yani, geliştirdiğiniz script sadece bir tarayıcı değil, aynı zamanda bir gözlemci olmalı.
Unutmayın ki, bu tür testleri yaparken etik kurallara dikkat etmek gerekiyor. Yani, sadece izin aldığınız sistemlerde bu tür taramalar gerçekleştirin. Aksi halde, karşılaşabileceğiniz hukuki sonuçlar ciddi olabilir. Sonuç olarak, SSRF tarama scripti oluşturmak, web uygulamalarının güvenliğini sağlamak adına önemli bir adımdır. Ancak, bunun elde edilmesi gereken bir bilgi olduğunu ve sürekli güncellenmesi gerektiğini aklınızda bulundurmalısınız…