Hayal edin; bir güvenlik araştırmacısı ve hacker olasılıklar denizinde yüzüyor, Shodan’ın tarayıcı arayüzü açık, beklenmedik bir açıklığı keşfetmenin eşiğinde.
Bu an, siber güvenlik dünyasında çığır açan bir buluşa dönüşebilir, zira Shodan, internete bağlı cihaz ve servislerin derinliklerine dalarak bilinmeyeni gün yüzüne çıkaran bir fener gibidir.
Shodan’ın Temelleri
Shodan (Sentient Hyper-Optimised Data Access Network), internete bağlı cihazları ve sistemleri tarayarak bilgi toplamaya yarayan bir arama motoru ve güvenlik aracıdır. Kullanıcılar, IP adresleri, portlar ve hizmetler gibi parametrelerle bu cihazların durumunu analiz edebilir.
Port numaraları, ağ üzerindeki cihazlar arasındaki iletişimde kritik bir rol oynar. Her bir port, internet protokollerinin belirli bir türdeki veri akışını düzenlemek için ayrılmış bir sanal noktadır. Örneğin, web sunucularını genellikle HTTP trafik için port 80 ve HTTPS trafik için port 443 kullanır. Shodan’ın port bilgisine dayalı tarayıcı yetenekleri sayesinde, belirli portlarda çalışan servislerin durumları hızlıca analiz edilebilir ve potansiyel güvenlik açıkları saptanabilir.
Bu platform, ağ güvenlik uzmanlarına, siber tehdit istihbaratı uzmanlarına ve pentest gibi siber saldırı testleri yapan kişilere özgü servisler sunar. Şebekelerdeki güvenlik açıklarını, hatalı yapılandırmaları veya istenmeyen açık hizmetleri hızlıca tespit etmek için gelişmiş arama filtrelerini kullanmak mümkündür.
Arama dili ‘Shodan Dorking’, internetteki spesifik bilgileri hedeflenmiş şekilde bulmak için etkin bir kaynaktır. Bu dorklar, belirli bir ağ aralığında veya hizmetteki açık bilgi kümelerini keşfetmek için kullanılır.
Siber Güvenlikte Shodan’ın Önemi
Shodan, güvenlik açıklarını keşfetmek için kullanılan güçlü bir arama motorudur. Kurumsal ağların derinlemesine analiz edilmesini ve teknoloji temelli tehdit avcılığı çalışmalarının efektif bir şekilde yürütülmesini sağlar. Siber güvenlik profesyonelleri için vazgeçilmez bir kaynaktır.
Zayıflıkların proaktif olarak tespit edilmesi için Shodan’ın sunduğu kapsamlı veri tabanı, ağ infrastruktürünü anlamada ve güvenlik açıklarını önceden belirlemede kritik rol oynar. Etkin kullanımı, organizasyonları gelecekteki saldırılara karşı korumak için stratejik öneme sahiptir.
Shodan her ay 500 milyon IP adresine tarama yapmaktadır.
Veri sızıntıları ve siber saldırılar giderek artarken Shodan, potansiyel tehlikeleri öngörmede ve siber savunma stratejilerini geliştirmede öncü bir role sahiptir. Nitelikli bilgi ve veritabanları ile güvenlik uzmanlarına, hizmet kesintilerinin ve maliyetli ihlallerin önlenmesinde ön ayak olmaktadır.
Shodan, güvenlik açıklarını proaktif olarak tespit etme konusunda vazgeçilmezdir. Diğer önemli araçlar ve kullanımları için En İyi Siber Güvenlik Araçları yazımıza göz atın.
Shodan ile Gerçekleştirilen Temel Araştırmalar
Shodan üzerinden gerçekleştirilen araştırmalar, internetteki açık cihaz ve hizmetlerin tespit edilmesinde temel bir rol oynar. Bu cihazlar sanal kameralardan, yönlendiricilere kadar geniş bir yelpazeyi kapsar. Shodan’ın kullanımıyla ağınızın dışa ne kadar açık olduğunu anlamak mümkündür.
Güvenlik açıklarını araştırmak için kullanılan Shodan ‘dork’ları, belirli parametreler ile yapılandırılır. Örneğin, org:”target.com” komutuyla bir organizasyonun tüm cihazları hakkında bilgi toplanabilir. Bunun yanı sıra, net:”” aralığı ile belirli bir IP bloğundaki cihazlara yönelik araştırmalar yapılabilir.
Shodan üzerinde http.title:”” veya ssl.cert.subject.cn:”” gibi dork’lar kullanılarak sitelerin SSL sertifikalarındaki bilgiler, HTTP başlıkları veya çerez bilgileri gibi özel verilere ulaşılabilir. Bu bilgiler güvenlik açısından değerlendirildiğinde, muhtemel zafiyetlerin saptanmasına olanak tanır.
Ayrıca, Shodan ile çeşitli protokolleri (ssl.alpn:””), specific web sunucularını (http.favicon.hash:””), veya belirli bir servisi kullanan cihazları (product:””) tespit etmek de mümkündür. Tespit edilen bu bilgiler, ağ üzerinde yürütülen güvenlik incelemelerinin doğruluk ve derinliğini artırır.
Bununla birlikte, güvenlik profesyonelleri tarafından yaygın olarak kullanılan “Set-Cookie: phpMyAdmin” (lang=, PHPSESSID, webvpn, webvpnlogin=1, mongo-express=, user_id=, phpMyAdmin=, _gitlab_session) gibi dorklar, potansiyel olarak zararlı olabilecek yönetim ara yüzlerine erişimin belirlenmesi için kullanılır. Shodan, siber güvenlik eğitimi ve uygulamalarında aktif bir şekilde yer alarak, ağ güvenliği bilincinin ve savunmasının geliştirilmesine katkıda bulunur.
Shodan Dorking İşlemleri
Shodan dorking, internete bağlı cihazları hızlıca tespit etmek için kullanılan etkili bir arama tekniğidir. Bu teknikle, arama motorunun gelişmiş sorgu dili sayesinde, özelleştirilmiş aramalar yapmak mümkündür. Dorking sayesinde, belirli bir IP adresine, ağ segmentine veya hizmete ait detaylı bilgilere ulaşabilirsiniz.
Arama sorguları özel parametrelerle zenginleştirilerek, çok çeşitli ağ bilgilerine ulaşmak amacıyla oluşturulur. Örneğin, org:”target.com” sorgusu ile hedeflenen bir şirkete ait cihazlar,
- http.title:”” ile belirli bir başlığa sahip web sayfaları çabucak filtre edilebilir. Örnek başlıklar arasında Grafana, Jenkins, MongoDB, JBoss, Django, Drupal, Joomla, Discourse, WordPress, Kibana, Elastic, Elasticsearch, Docker, Kubernetes, Redis, Citrix, Outlook, Owa, Index of /, DisallowedHost at /, InfluxDB, Apache Kafka, Apache Tomcat, Prometheus, Jira, Atlassian, Confluence, GraphQL, Gitlab, Git, Github, Postman, Swagger UI, nagios bulunmaktadır.
- http.html:”” şeklinde kullanarak, “anahtar kelime” ifadesini içeren web sayfalarını bulabilirsiniz. Örnek anahtar kelimeler arasında WordPress, Discourse, Grafana, Jenkins, MongoDB, JBoss, Drupal, Joomla, Kibana, Elastic, Elasticsearch, Docker, Kubernetes, Redis, Citrix, Outlook, Owa, Index of /, DisallowedHost at /, InfluxDB, Apache Kafka, Apache Tomcat, Prometheus, Logstash, Terraform, Jira, Atlassian, Confluence, GraphQL, Gitlab, Git, Github, Postman, Swagger UI, nagios bulunmaktadır.
- http.status:”” şeklinde kullanarak, belirli bir durum koduna sahip web sayfalarını bulabilirsiniz. Örnek durum kodları arasında bulunmaktadır.
- http.status:”101″ – Switching Protocols (Web soket hijacking kontrolü için)
- http.status:”102″ – WebDAV (Etkinleştirilmiş WebDAV kontrolü için)
- http.status:”200″ – OK
- http.status:”301″ – Kalıcı Olarak Taşındı
- http.status:”302″ – Geçici Olarak Taşındı
- http.status:”307″ – Geçici Yönlendirme
- http.status:”308″ – Kalıcı Yönlendirme
- http.status:”401″ – Yetkisiz (Yetkilendirme bypass kontrolü için)
- http.status:”403″ – Yasaklandı (Yasak bypass kontrolü için)
- http.status:”404″ – Bulunamadı (Alt alan adı ele geçirme kontrolü için)
- http.status:”407″ – Proxy Kimlik Doğrulaması Gerekli (Kimlik doğrulama bypass kontrolü için)
- http.status:”426″ – Yükseltme Gerekli (Desync/smuggling saldırıları kontrolü için)
- http.status:”501″ – Uygulanmadı (Desync/smuggling saldırıları kontrolü için)
- port: şeklinde kullanarak, belirli bir port numarasına sahip olan cihazları bulabilirsiniz. Örnek port numaraları aşağıda bulunmaktadır.
- port:21 “proftpd”: ProFTPD sunucusuna sahip olan cihazları bulabilirsiniz.
- port:21 “220” “230 Login successful.”: 220 ve 230 Login successful mesajını içeren FTP sunucusuna sahip olan cihazları bulabilirsiniz.
- port:22 “OpenSSH”: OpenSSH sunucusuna sahip olan cihazları bulabilirsiniz.
- port:23 “Telnet”: Telnet sunucusuna sahip olan cihazları bulabilirsiniz.
- port:25 “exim”: Exim sunucusuna sahip olan cihazları bulabilirsiniz.
- port:80 “Apache httpd”: Apache HTTP sunucusuna sahip olan cihazları bulabilirsiniz.
- port:445 “SMB”: SMB (Server Message Block) sunucusuna sahip olan cihazları bulabilirsiniz.
- port:1433 “Microsoft SQL Server”: Microsoft SQL Server sunucusuna sahip olan cihazları bulabilirsiniz.
- port:3306 “MySQL”: MySQL sunucusuna sahip olan cihazları bulabilirsiniz.
- port:3389 “remote desktop”: Uzak masaüstü bağlantısına izin veren cihazları bulabilirsiniz.
- port:6379 “authentication disabled”: Kimlik doğrulama devre dışı bırakılmış Redis sunucusuna sahip olan cihazları bulabilirsiniz.
- port:9200 “Elasticsearch”: Elasticsearch sunucusuna sahip olan cihazları bulabilirsiniz.
- port:27017 “MongoDB Server Information”: MongoDB sunucusuna sahip olan cihazları bulabilirsiniz.
- http.favicon.hash: şeklinde kullanarak, belirli bir favicon hash değerine sahip olan cihazları bulabilirsiniz. Örnek favicon hash değerleri aşağıda bulunmaktadır.
- http.favicon.hash:”743365239″ – Atlassian
- http.favicon.hash:”628535358″ – Atlassian
- http.favicon.hash:”705143395″ – Atlassian
- http.favicon.hash:”981867722″ – Atlassian – JIRA
- http.favicon.hash:”552727997″ – Atlassian – JIRA
- http.favicon.hash:”-1581907337″ – Atlassian – JIRA
- http.favicon.hash:”-305179312″ – Atlassian – Confluence
- http.favicon.hash:”-1642532491″ – Atlassian – Confluence
- http.favicon.hash:”-1379982221″ – Atlassian – Bamboo
- http.favicon.hash:”1772087922″ – ASP.NET
- http.favicon.hash:”-1544605732″ – Amazon PHP Application – AWS Elastic Beanstalk
- http.favicon.hash:”-297069493″ – Apache Tomcat
- http.favicon.hash:”1382324298″ – Apple
- http.favicon.hash:”1232159009″ – Apple
- http.favicon.hash:”-1498185948″ – Apple
- http.favicon.hash:”-335242539″ – f5 Big IP
- http.favicon.hash:”878647854″ – BIG-IP
- http.favicon.hash:”1993518473″ – cPanel
- http.favicon.hash:”1544230796″ – cPanel Login
- http.favicon.hash:”-1153950306″ – Dell
- http.favicon.hash:”-167656799″ – Drupal
- http.favicon.hash:”1174841451″ – Drupal
- http.favicon.hash:”1611729805″ – Elastic (Database)
- http.favicon.hash:”1552860581″ – Elastic (Database)
- http.favicon.hash:”708578229″ – Google
- http.favicon.hash:”-1067420240″ – GraphQL Playground
- http.favicon.hash:”2124459909″ – HFS (HTTP File Server)
- http.favicon.hash:”731374291″ – HFS (HTTP File Server)
- http.favicon.hash:”1726027799″ – IBM Server
- http.favicon.hash:”81586312″ – Jenkins
- http.favicon.hash:”855273746″ – JIRA
- http.favicon.hash:”1627330242″ – Joomla
- http.favicon.hash:”-1950415971″ – Joomla
- http.favicon.hash:”366524387″ – Joomla
- http.favicon.hash:”-759754862″ – Kibana
- http.favicon.hash:”-1200737715″ – Kibana
- http.favicon.hash:”-267431135″ – Kibana
- http.favicon.hash:”1668183286″ – Kibana3
- http.favicon.hash:”75230260″ – Kibana4
- http.favicon.hash:”-1414475558″ – Microsoft IIS
- http.favicon.hash:”-1249852061″ – Microsoft Outlook
- http.favicon.hash:”442749392″ – Microsoft OWA
- http.favicon.hash:”-38580010″ – Magento
- http.favicon.hash:”902521196″ – Netflix
- http.favicon.hash:”396533629″ – OpenVPN
- http.favicon.hash:”-318947884″ – Palo Alto Networks
- http.favicon.hash:”602431586″ – Palo Alto Login Portal
- http.favicon.hash:”-476231906″ – phpMyAdmin
- http.favicon.hash:”-1010568750″ – phpMyAdmin
- http.favicon.hash:”1768726119″ – Outlook Web Application
- http.favicon.hash:”1356662359″ – Outlook Web Application
- http.favicon.hash:”-1616115760″ – ownCloud
- http.favicon.hash:”-1967743928″ – SAP ID Service: Log On
- http.favicon.hash:”1347937389″ – SAP Conversational AI
- http.favicon.hash:”-266008933″ – SAP Netweaver
- http.favicon.hash:”1642701741″ – Vmware Secure File Transfer
- http.favicon.hash:”1895360511″ – VMware Horizon
- http.favicon.hash:”-1255992602″ – VMware Horizon
- http.favicon.hash:”-991123252″ – VMware Horizon
- http.favicon.hash:”191654058″ – WordPress Under Construction Icon
- http.favicon.hash:”-1038557304″ – Webmin
- http.favicon.hash:”1453890729″ – Webmin
- http.favicon.hash:”1280907310″ – Webmin
- http.favicon.hash:”479413330″ – Webmin
- http.component sorgusunu, bir web sitesinin kullandığı teknolojileri (örneğin jQuery, Apache, WordPress vb.) tespit etmek için kullanabilirsiniz. Örnek teknoloji ve aranması gereken zafiyetler aşağıda bulunmaktadır.
- Template Injection bulmak için:
- http.component:”AngularJS”
- http.component:”Ruby”
- http.component:”Ruby on Rails”
- http.component:”Python”
- PHP zafiyetlerini bulmak için:
- http.component:”PHP”
- SAP XSS CVE zafiyetlerini bulmak için:
- http.component:”SAP”
- Log4j zafiyetlerini bulmak için:
- http.component:”Java”
- Zafiyetli veritabanlarını bulmak için:
- http.component:”MongoDB”
- http.component:”MySQL”
- Admin Dashboard Misconfigurations bulmak için:
- http.component:”Python”
- http.component:”Django”
- API misconfigurations bulmak için:
- http.component:”Open Graph”
- http.component:”Sentry”
- http.component:”Google Maps”
- Prototype pollution bulmak için:
- http.component:”JQuery”
- http.component:”Node.js”
- http.component:”Loadash”
- Önbelleğe alma sorunlarını bulmak için:
- http.component:”Cloudflare”
- http.component:”Cloudfront”
- http.component:”Amazon Cloudfront”
- http.component:”cdnjs”
- http.component:”jsDelivr”
- http.component:”CreateJS”
- http.component:”Akamai”
- http.component:”JQuery CDN”
- http.component:”Varnish”
- http.component:”Netlify”
- http.component:”WP Rocket”
- Subdomain Takeovers bulmak için:
- http.component:”Amazon S3″
- http.component:”GitHub Pages”
- Deserialization zafiyetleri bulmak için:
- http.component:”Microsoft ASP.NET”
- OAuth squatting bulmak için:
- http.component:”Google Sign-in”
- http.component:”Apple Sign-in”
- http.component:”Facebook Sign-in”
- CMS ilişkili zafiyetleri bulmak için:
- http.component:”WordPress”
- http.component:”Contentful”
- http.component:”Discourse”
- http.component:”Joomla”
- http.component:”Drupal”
- http.component:”WooCommerce”
- http.component:”Wix”
- http.component:”Shopify”
- http.component:”Magento”
- http.component:”Contentful”
- http.component:”Django CMS”
- http.component:”Craft CMS”
- Template Injection bulmak için:
- http.component_category sorgusu ile belirli bir teknoloji kategorisine ait bileşenleri kullanan cihazları ve sistemleri bulabilirsiniz. Örnek teknoloji kategorileri aşağıda bulunmaktadır.
- http.component_category:”Programming languages”
- http.component_category:”Databases”
- http.component_category:”CDN”
- http.component_category:”Caching”
- http.component_category:”Javascript libraries”
- http.component_category:”Javascript frameworks”
- http.component_category:”Security”
- http.component_category:”Miscellaneous”
- http.component_category:”Maps”
- http.component_category:”CMS”
- http.component_category:”Message boards”
- http.component_category:”Web frameworks”
- http.component_category:”Authentication”
- http.component_category:”Web servers”
- http.component_category:”Payment processors”
- http.component_category:”WordPress plugins”
- http.component_category:”Blogs”
- http.waf sorgusunu, belirli bir WAF ürününe (örneğin ModSecurity, Cloudflare, AWS WAF vb.) sahip cihazları ve sunucuları belirlemek için kullanılabilirsiniz. WAF ürünlerini bypass etmek için birçok teknik bulunmaktadır. Genellikle WAF’ın arkasında kolayca bypass edilebilen zafiyetler bulunabilir. Örnek WAF ürünleri aşağıda bulunmaktadır.
- http.waf:”Cloudflare”
- http.waf:”Cloudfront”
- http.waf:”Akamai”
- http.waf:”AWS”
- http.waf:”Azure”
- http.waf:”Imperva”
- http.waf:”Nginx”
- http.waf:”Barracuda”
- http.waf:”F5″
- http.waf:”Sucuri”
- http.waf:”ModSecurity”
- http.waf:”Fastly”
- http.waf:”Citrix”
- http.waf:”FortiWeb”
- ssl.alpn sorgusunu, belirli ALPN protokollerini destekleyen sunucuları ve hizmetleri bulmak için kullanılabilirsiniz. Bu Shodan dorku özellikle desync/smuggling saldırılarını kontrol etmek için kullanılır.
- ssl.alpn:”http/1.0″
- ssl.alpn:”http/1.1″
- ssl.alpn:”http/2″
- ssl.alpn:”http/2.0″
- ssl.alpn:”h2″
- ssl.alpn:”spdy/1″
- ssl.alpn:”spdy/2″
- ssl.alpn:”spdy/3″
- ssl.alpn:”http/0.9″
- ssl.alpn:”acme-tls/1″
- product:”” sorgusu, belirli bir ürün veya yazılım adıyla ilişkilendirilen cihazları veya hizmetleri bulmak için kullanılan bir arama parametresidir.
- product:”Apache httpd”
- product:”OpenSSH”
- product:”ciscoSystems”
- product:”nginx”
- product:”BigIP”
- product:”Microsoft HTTPAPI httpd”
- product:”Apache Tomcat/Coyote JSP engine”
- product:”OpenResty”
- product:”Postfix smtpd”
- product:”MySQL”
- product:”Exim smtpd”
- product:”Kubernetes”
- product:”AkamaiGHost”
- product:”PostgreSQL”
- product:”MiniServ”
- product:”Grafana (Open Source)”
- product:”SQL Server Browser Service”
- product:”Apache Tomcat”
- product:”Node.js”
- product:”CouchDB”
- product:”MongoDB”
- product:”Memcached”
Bu şekildeki dorklar, ağ yapılarının derinlemesine incelemesi ve potansiyel zafiyetlerin belirlenmesinde kritik rol oynar. Shodan dorking, aynı zamanda bir siber tehdit istihbaratı kaynağı olarak işlev görür. Kötü niyetli aktörlerin hedef alabileceği zayıf noktalar, “Set-Cookie: PHPSESSID” veya “WWW-Authenticate”, “X-elastic-product: Elasticsearch”, “x-drupal-cache”, “access-control-allow-origin”, “X-Magento-Cache-Debug”, “kbn-name: kibana”, “X-App-Name: kibana”, “x-jenkins” gibi dorklar kullanılarak tespit edilebilir. Bu bilgilerin analizi, güvenlik önlemlerinin geliştirilmesinde ve tehditlere karşı proaktif önlemlerin alınmasında temel bir unsur olarak değerlendirilir.
Etkili Dorklar ve Kullanımları
Shodan’da etkili dork kullanımı, ağ güvenliğindeki izlerin takip edilmesinde önemli bir yer tutar. Gelişmiş dorklar kullanarak, geniş ağ yelpazesindeki cihazların ve konfigürasyonların incelenmesi, hassas bilgilerin belirlenmesinde kritik öneme sahiptir. Farklı kriterlerle özelleştirilmiş dorklar, siber güvenlik analistlerinin tehdit avcılığı aktivitelerinde de vazgeçilmez araçtır.
Belirli bir protokolü kullanarak şifrelenmiş trafik saptanabilir, ssl.alpn:”” ile. Bu, güvenlik ihlali girişimlerinin sezgisel anlamda erken tespitine imkan tanır. Kritik bilgi ve hizmetlerin güvenliğini etkin bir şekilde denetlemek için dorklar stratejik birer araçtır.
Hizmet başlığına göre sonuçları daraltmak, http.title:”” sorgusu ile mümkündür. Başlık filtrelemesi, web uygulamalarının ve sunucuların sınıflandırılmasında ve belirli bir hedefe yönelik incelemelerde kullanılır. Bu yaklaşım, yüzey alanının daraltılmasında ve özel amaçlı analizlerde uygundur.
Favicon hash değerlerini araştırmak için kullanılan http.favicon.hash:””, belirli bir web sitesine özgü grafik simgeler vasıtasıyla eşleşme yapmayı sağlar. Bu tip dorklar sayesinde, web işaretleri üzerinden kurumların ve hizmetlerin ayırt edilmesi kolaylaşır.
Özelleştirilmiş kurulumların veya yönetim arayüzlerinin ayırt edilmesinde, net:”” (örneğin 104.16.100.52/32) gibi dorklar yararlıdır. Belirli ağ aralıklarını ve bu aralıktaki cihazların sunmuş olduğu servisleri tespit etmek amacıyla kullanılır. Ağ mimarisi ve erişilebilir servisler üzerinden siber tehdit alanlarını belirlemede etkindir.
Kurumsal ağların sınırlandırılması ve bunlara ait ana bilgisayar isimlerinin tespit edilmesinde hostname:””, asn:”” gibi dorklar öne çıkar. Bu bilgiler, ağın hangi servis sağlayıcılar altında yapılandırıldığını ve hangi autonum sisteme bağlı olduğunu anlamakta yardımcı olur.
Özel Filtrelerle Detaylı Tarama Yöntemleri
Shodan üzerinde gerçekleştirilen taramalar, filtreleme özellikleri kullanılarak özelleşebilir. Bu taramalar, spesifik hedeflere veya sistemlere yönelik detaylı bilgiler üretebilir ve siber güvenlik uygulamaları için değerli veriler sunar.
Örneğin, ssl.cert.subject.cn:”” filtresi, belirli bir etki alanına ait SSL sertifikalarını analiz etmek için kullanılabilir. Bu analiz, güvenlik uzmanlarına sertifika süresinin takibi için olanak sağlar.
http.title:”” filtresi ile web sayfalarının başlık bilgilerini araştırarak, belirli başlıklara sahip sayfaları lokalize etmek mümkündür. Bu yöntem, zararlı veya phishing sayfalarının indentifikasyonunda kritik rol oynayabilir.
asn:”” filtresi, bir otomasyon numarası kullanarak, ilgili kurumun ağ içerisindeki cihazlarını kolaylıkla tespit etmeyi sağlar. Bu bilgiler, ağın alt yapısal yapısını ve potansiyel zayıf noktalarını gösterir.
Ayrıca, hostname:”” ve ip:”” kullanarak, özel bir ana bilgisayar veya IP adresine yönelik ayrıntılı bilgiye ulaşılır. Bu, özgün bir cihazın ağdaki varlığını ve hizmetlerini detaylıca incelemeyi mümkün kılar.
Karmaşık ve dinamik siber güvenlik mecrasında, bu tarama teknikleri, güvenlik tehditlerine karşı koruma stratejilerini geliştirmek adına hayati öneme sahiptir. Özellikle hedef odaklı analizler ve risk değerlendirmelerinde büyük avantajlar sunar.
Shodan Komut Satırı Araçları
Shodan, grafiksel kullanıcı arayüzünün yanı sıra gelişmiş kullanıcılar için komut satırı araçları (CLI) sunar. Bu araçlar, elle yazılmış komutlar vasıtasıyla Shodan ağını sorgulamak için güçlü ve hızlı bir yöntemdir. Örneğin, shodan host komutuyla belirli IP adresine ait servis bilgilerini edinebilir, shodan stats –facets port:22 komutuyla SSH portu kullanan organizasyonların istatistiklerine ulaşılabilir. Bu, olay müdahalesi veya proaktif güvenlik analizlerinde kritik bilgilerin elde edilmesini sağlar.
Komut satırı araçları, otomasyon ve entegre sistemlerin bir parçası olarak da değerlidir. shodan alert create komutu ile belirli IP adreslerine veya ağlarına yönelik uyarılar oluşturulabilir ve bunlarla ilişkilendirilen güvenlik olayları otomatik olarak takip edilebilir. Ayrıca, shodan download komutuyla toplu veriler indirilebilir ve shodan parse –fields ile çıktıları filtreleyerek analiz edilebilir. Bu yetenekler, siber güvenlik profesyonelleri için derinlemesine veri analizi ve izleme imkânı sunar.
CLI ile Hızlı Shodan Komutları
Shodan, güvenlik araştırmacılarının geniş ağ veritabanını tarayabilmesi için komut satırı arayüzü olan CLI araçlarını sağlar. Bu komutlar, ağ analizi ve güvenlik izlemesi için hızlı ve etkin çözümler sunmaktadır.
- shodan host <IP>: Belirli bir IP adresi hakkında detaylı bilgi almak için kullanılır.
- shodan stats –facets port:22: Belirli bir IP adresi için uyarı oluşturur.
- shodan stats –facets org discourse: Org (kuruluş) alanına göre discourse istatistiklerini görüntüler.
- shodan domain <domain>: Belirli bir alan adına sahip cihazları görüntüler.
- shodan search “hostname:<domain>“: Bir alan adının hangi servislerle ilişkili olduğunu araştırır.
- shodan honeyscore <IP>: Belirli bir IP adresinin HoneyScore değerini görüntüler.
- shodan alert create “IP Alert” <IP>: Belirli bir IP adresi için uyarı oluşturur.
- shodan alert enable <alert_id>: Belirli bir uyarıyı etkinleştirir.
- shodan alert CyberSkillsHub.com: CyberSkillsHub.com alan adına sahip cihazlar için bir uyarı oluşturur.
- shodan download <dosya_adi> <sorgu>: Sorgu sonuçlarını toplu halde indirir.
- shodan parse –fields <alanlar> –separator “,” <dosya_adi>: İndirilen dosyadaki verileri filtreleyerek görüntüler. Bu komutlar sayesinde işlemler otomatize edilebilir ve zaman tasarrufu sağlanırken, tespitlerde de hız kazanılır.
- new_service, open_database, vulnerable, ssl_expired, internet_scanner, uncommon: Belirli özelliklere sahip cihazları görüntüler.
Yüksek düzeyde özelleştirilebilir özelliklere sahip olan CLI, siber güvenlik konusunda derinlemesine bilgi gerektiren çalışmalarda temel bir rol oynar. Komut satırı kullanımının bu verimliliği, güvenlik uzmanlarının zamanlarını daha önemli analizlere ayırmalarını mümkün kılar.
Python ile Shodan scriptleri yazmak için aşağıdaki kaynağa göz atabilirsiniz: Python Eğitimi Uzmanlaşma Rehberi
Oluşturulan Uyarılar ve Takip
Shodan, belirli kriterlere göre uyarı sistemleri oluşturmayı mümkün kılar. Bu uyarılar, belirlenen hedefe ilişkin değişiklikleri takip etmek için kullanılır.
Oluşturulan uyarılar, IP adresleri veya alan adları gibi önceden tanımlanmış hedeflerdeki etkinlikleri izlemeye yarar. Bir hizmetin durumu, yeni açılan portlar veya sistem güncellemeleri gibi değişikliklerde bildirim alırsınız.
Uyarı mekanizması, güvenlik uzmanlarının sürekli olarak hedefleri manuel olarak kontrol etme ihtiyacını ortadan kaldırır. Bu otomatik takip sistemi, potansiyel tehditlerin veya güvenlik açıklarının erken tespitine olanak tanır.
Siber tehlikelerin proaktif olarak yönetilmesinde uyarılar büyük önem taşır. Ani gelişen olaylar karşısında hızlı bir şekilde müdahale etme kapasitesi, kurumların siber sağlığını korumak için elzemdir.
Oluşturulan uyarılar sayesinde, tehdit avcılığı faaliyetleri daha stratejik bir hale gelir. Güvenlik ekipleri, uyarılar aracılığıyla siber olaylara önceden hazırlıklı olabilir.
Güvenlik Açıkları ve Sızma Testi
Güvenlik açıklarını tespit etme ve değerlendirme süreci, siber güvenlikte kritik bir rol oynar. Shodan, bu sürecin önemli bir parçasıdır ve sızma testi uzmanlarına, hedef sistemlerdeki potansiyel güvenlik zafiyetleri konusunda ayrıntılı bilgi sağlar. Kullanıcıların oluşturduğu dorklar (arama sorguları), belirli bir IP aralığındaki, domain isimlerindeki veya belirli uygulama ayak izlerindeki güvenlik açıklarını ortaya çıkarabilir. Sızma testçileri, bu bilgileri değerlendirerek risk analizlerini gerçekleştirebilir ve savunma stratejilerini geliştirebilir. Shodan’ın sunduğu detaylı veri setleri, güvenlik açıklarının saptanmasında ve siber saldırı senaryolarına karşı önlemlerin alınmasında etkin bir araçtır.
Shodan ve Güvenlik Açıklarını Tespiti
Shodan, internete bağlı cihazların güvenlik açıklarını tarayarak risk değerlendirmesinde kullanılır. Bu sayede, ağa açık sistemlerin hızlı bir şekilde belirlenmesi ve güvenlik zafiyetlerinin önceden tespit edilmesi mümkün olur.
Güvenlik uzmanları için Shodan; sunucular, yönlendiriciler, web kameraları ve diğer IoT cihazları gibi geniş bir yelpazedeki cihazları analiz etme imkanı tanır. Farklı sorgu parametreleri kullanılarak, ağ yapıları, açık portlar, kullanılan yazılımlar ve bunların sürümleri gibi kritik bilgilere ulaşılabilir. Bu bilgiler, siber korsanlar tarafından istismara açık noktaların izole edilmesinde ve güvenlik açıklarının kapatılmasında önemli bir rol oynar.
Shodan dorkları, güvenlik açıklarını daha hedefli bir biçimde araştırmak için kullanılır. Örneğin, belirli bir yazılımı kullanan ve bilinen bir zafiyeti barındıran sistemleri bulmak, sadece birkaç arama sorgusu ile mümkündür. Bu şekilde, şirketler ve kuruluşlar, güvenlik zafiyeti barındıran cihazların envanterini çıkarabilir ve hızla harekete geçebilir.
İyi düzenlenmiş bir Shodan dork listesi, potansiyel siber saldırılar karşısında güvenlik duruşunu kuvvetlendirir. Bu listeler sayesinde sıradan sistem taramalarından daha ileri seviyede analizler yapılabilir ve özelleştirilmiş tehdit istihbaratı sağlanabilir. Eksiksiz bir güvenlik ekosistemi oluşturmak için Shodan’ın sunmuş olduğu detaylı bilgiler, tehdit avcılığı ve incident response ekiplerinin de vazgeçilmez araçları arasında yer alır.
Potansiyel Tehditlere Karşı Önlemler
Siber güvenlik stratejisi, proaktif bir yaklaşım gerektirir ve Shodan kullanımı da bu stratejinin bir parçasıdır.
- Bilgilerinizi sürekli güncel tutarak yeni yayınlanan güvenlik açıklarından haberdar olun.
- Açık kaynak istihbaratı (OSINT) araçları ile kendi ağınızı düzenli olarak tarayın.
- Özellikle kamu olarak erişilebilir hizmetlerinizi düzenli olarak denetleyin ve zafiyet taramaları yapın.
- Saldırı yüzeyinizi minimuma indirecek ağ segmentasyonu ve hizmet kısıtlamalarını uygulayın.
- Güvenlik duvarı ve erişim kontrol listeleri gibi savunma katmanlarını etkin şekilde kullanın.
- Hassas sistemleri ve verileri izole etmek için ağ içinde ilave güvenlik katmanları oluşturun.
- Eğitimli ve bilinçli bir kullanıcı tabanı oluşturarak, insan kaynaklı hataları minimize edin.
Shodan araçları ve dorklarının kullanımı, savunma mekanizmalarınızı test etmek için de önemlidir.
Siber güvenlik eğitimi, personelinizin bilgi düzeyini artırarak kurumunuzun güvenlik kültürünü güçlendirir.
Shodan ile İlgili Sıkça Sorulan Sorular
Shodan ile neler yapılabilir?
Shodan, internet üzerinde cihazların ve hizmetlerin araştırılmasına yardımcı olan bir arama motorudur. Shodan’ı kullanarak, birçok farklı şey yapabilirsiniz. Öncelikle, Shodan’ı kullanarak kamuya açık (public) cihazları bulabilirsiniz. Bu, web kameralarından endüstriyel kontrol sistemlerine kadar çeşitli cihazları içerir. Bu cihazları bulmanız, güvenlik açıklarını tespit etmenizi ve gerekli önlemleri almanızı sağlar. Ayrıca, Shodan’ı kullanarak cihazların güvenlik durumunu değerlendirebilirsiniz. Örneğin, bir IP adresini veya bir ülkeyi hedefleyerek o bölgedeki açık portları, güvenlik zafiyetlerini ve hatta kimlik avı girişimlerini bulabilirsiniz. Bu bilgiler, ağ güvenliği uzmanlarına, sistem yöneticilerine ve siber güvenlik eğitimi alan öğrencilere fayda sağlar.
Shodan arama motoru hangi amaçla kullanılır?
Shodan arama motoru, internet üzerindeki cihazları bulmak ve analiz etmek amacıyla kullanılan bir arama motorudur. Bu arama motoru özellikle Siber Güvenlik alanında kullanılmaktadır. Shodan, güvenlik kameraları, sunucular, IoT cihazları gibi çeşitli internete bağlı cihazların bilgilerini taramak için kullanılır. Bu sayede, bu cihazların IP adreslerini, açık portlarını, güvenlik zaaflarını ve hatta bazen kullanıcı adı ve şifre gibi hassas bilgilerini bulabilmek mümkün olur. Shodan ayrıca arama filtreleri, Advanced search özellikleri ve API entegrasyonu gibi birçok gelişmiş özelliğe sahiptir.
Shodan eye nedir?
Shodan Eye, siber güvenlik araştırmacıları için önemli bir araçtır. Shodan, internet üzerindeki cihazları tarama ve analiz etme yeteneğine sahip bir hizmettir. Shodan Eye ise, Shodan’ın sağladığı verileri görselleştiren bir arayüzdür.