Bash Tabanlı Bütünleşik Bir Otomatik Keşif Pipeline’ı ile Sızma Testlerinde Bilgi Toplama Sürecinin Otomasyonu
Abstract views: 17
/ 
PDF downloads: 12
Keywords:
Bash Betiği, Keşif, Sızma Testi, Otomasyon, Zafiyet AnaliziAbstract
Siber güvenlik operasyonlarında ve sızma testlerinde hedef sistem hakkında bilgi toplama süreci,
saldırı yüzeyinin doğru şekilde belirlenmesi açısından en kritik aşamalardan biridir. Bu sürecin manuel
yöntemlerle yürütülmesi; yüksek zaman maliyeti, insan kaynaklı hata riski ve dağınık veri çıktıları gibi
önemli sorunları beraberinde getirmektedir. Bu çalışmada, söz konusu problemlerin giderilmesi ve bilgi
toplama sürecinin daha verimli hâle getirilmesi amacıyla Bash tabanlı, modüler ve otomatik bir keşif aracı
geliştirilmiştir. Geliştirilen araç; alt alan adı keşfi, aktiflik kontrolü, subdomain takeover (kullanılmayan
veya yanlış yapılandırılmış alt alan adlarının üçüncü taraf hizmetler üzerinden ele geçirilmesine dayanan
bir web güvenlik zafiyeti) analizi, port taraması ve web arayüzü görselleştirme adımlarını bütünleşik bir
pipeline mimarisi altında tek komutla gerçekleştirmektedir. Böylece, farklı güvenlik araçlarının ayrı ayrı
çalıştırılmasına gerek kalmadan, uçtan uca otomatik ve tekrarlanabilir bir keşif süreci sunulmaktadır.
Aracın performansı, yüksek donanım kapasitesine sahip izole bir Kali Linux sanal ortamında;
hackerone.com, vulnweb.com ve nmap.org hedefleri üzerinde test edilmiştir. Elde edilen deneysel
sonuçlar, literatürdeki mevcut çalışmalarla karşılaştırmalı olarak analiz edilmiştir. Yapılan
değerlendirmeler, geliştirilen aracın tekil zafiyet tarayıcılarına kıyasla saldırı yüzeyini daha geniş bir
kapsamda ele aldığını, manuel süreçlere göre analiz süresini dakikalar seviyesine indirdiğini ve merkezi
bir HTML raporlama mekanizması sayesinde hatasız ve düzenli çıktı ürettiğini göstermektedir. Sonuç
olarak, sunulan otomatik keşif aracı, sızma testi uzmanlarının operasyonel verimliliğini artırarak daha
kritik güvenlik zafiyetlerine odaklanmalarına olanak tanımaktadır.
Downloads
References
S. Shah and B. M. Mehtre, "An overview of vulnerability assessment and penetration testing techniques," Journal of Computer Virology and Hacking Techniques, vol. 11, no. 1, pp. 27-49, 2015.
P. Engebretson, The basics of hacking and penetration testing: ethical hacking and penetration testing made easy. Elsevier, 2013.
H. Holm, T. Sommestad, J. Almroth, and M. Persson, "A quantitative evaluation of vulnerability scanning," Information Management & Computer Security, vol. 19, no. 4, pp. 231-247, 2011.
K. Scarfone, M. Souppaya, A. Cody, and A. Orebaugh, "Technical guide to information security testing and assessment," NIST Special Publication, vol. 800, no. 115, pp. 2-25, 2008.
C. Skandylas and M. Asplund, "Automated penetration testing: Formalization and realization," Computers & Security, vol. 155, p. 104454, 2025.
M. Alhamed and M. H. Rahman, "A systematic literature review on penetration testing in networks: future research directions," Applied Sciences, vol. 13, no. 12, p. 6986, 2023.
M. Albahar, D. Alansari, and A. Jurcut, "An empirical comparison of pen-testing tools for detecting web app vulnerabilities," Electronics, vol. 11, no. 19, p. 2991, 2022.
