heartbleed-masstest ile Toplu HeartBleed Zafiyeti Testleri

Merhaba

Heartbleed güvenlik açığını test etmek için bir çok araç bulunmaktadır. Python ile yazılmış araçların yanı sıra metasploit’e de ilgili modül eklenmiş bulunmaktadır. Bu yazıda anlatılan heartbleed-masstest ise python ile geliştirilmiş ve birden fazla sitede test yapılmasını sağlayan bir araçtır.

Kaynak kodlara aşağıdaki linkten erişim sağlanabilir.

Kurulum için netaddr modülü gerekmektedir.

Kullanım

heartbleed-masstest, dosya içerisinde tanımlanmış olan web sitelerinde heartbleed zafiyeti olup olmadığını kontrol etmektedir. Dosya içerisinde verileri alt alta yazılabilir veya JSON formatında da tutulabilir. Ayrıca tarama işlemini hızlandırmak adına birden fazla thread oluşturulabilmektedir. Sonuçlar ise belirtilen bir log dosyasında saklanabilir.

Alexa top 10.000 sitenin bulunduğu dosya ile tarama gerçekleştirildiğinde aşağıdakine benzer çıktılar oluşacaktır.

 –only-vulnerable ve –only-unscanned parametreleri oldukça kullanışlıdır.

 –only-vulnerable = Sadece daha önce taranmış ve heartbleed zafiyeti bulunmuş siteler üzerinde tarama gerçekleştir.

–only-unscanned = Daha önce tarama işlemine tabi tutulmamış domain/ip adresleri için heartbleed zafiyeti taraması gerçekleştir.

–logfile = Çıktıları belirtilen dosyaya kaydet.

SONUÇLAR

Uygulamanın github hesabından yapılan duyuruda 8 Nisan 2014 tarihinde yapılan tarama sonuçlarına göre heartbleed zafiyeti içeren sitelerin listesi bulunmaktadır.

Bu listeden alınan ufak bir özet yukarıda ki tabloda gösterilmiştir.