Pentest/Penetrasyon Nedir?
Pentest'in türkçe karşılığı Sızma Testi'dir. Sızma testleri Pentester, Siber Güvenlik Uzmanları ve Siber Korsanlar tarafından kullanılan bir zafiyet belirleme testidir.
Bunu sızma testi için belli başlı teknikler ve araçlar kullanılarak bu testi gerçekleştirirler.
Pentest/Penetrasyon Neden Yapılmalıdır?
Sızma testi şu faydaları sağlar:
->Altyapı kaynaklı sorunların ortaya delil olarak konulabilmesi.
->Çok kolaylıkla düzeltilebilecek zafiyetlerin zamanın da bilgilendirilmesi.
->Hemen ortadan kaldırılamayacak kadar büyük zafiyetlerin risklerini azaltmak için sızma testleri yapılır.
Pentest/Penetrasyon Türleri Nelerdir?
1-Network Pentest (Ağ Sızma Testi)
2-Mobile Application Pentest (Mobil Uygulama Sızma Testi)
3-Web Application Pentest (Web Uygulama Sızma Testi)
4-Social Engineering (Sosyal Mühendislik)
5-DDOS Attack Pentest (DDOS Saldırı Testi)
6-Wireless Pentest (Kablosuz Ağ Sızma Testi)
Pentest/Penetrasyon Aşamaları Nelerdir?
Planlama: Test yapılmadan önce testi isteyen firma, testin çeşidini, sızılacak sistemi, testin yapılacağı zamanı ve vakti, test kime yapılacak bu tarz bilgilerin verildiği aşamadır.
Bilgi Toplama: Testin çeşidine göre hedef sistem hakkında aktif veya pasif kaynaklı bilgi toplama aşamasıdır. Ağ ve sistem alt yapısını geçmek kolay olmadığında, çalışanlar hakkında bilgi toplayıp, sosyal mühendislik yapılarak sisteme erişmek mümkün olabilir.
Tarama ve Keşif: Ağ ve sistemin alt yapısında ki cihazları, açık portların ve çalışan servislerin tespit edildiği aşamadır.
Zafiyetleri Belirleyip İçeri Sızma: Zafiyetleri kullanarak sistemin içine sızıp verilebilecek tüm zararı tespit edip ortaya koyma aşamasıdır.
Sızma İşlemi Sonrası Yapılması Gereken İşlemler: Sisteme sızdıktan sonra yerleşik bir sistem olun, otoriteyi artırın ve yabancılaşın
felaket sahnesini ortaya çıkaran ve nihayet geride bıraktığımız izleri temizleyen aşamadır.
Raporlama: Yapılan bütün sızma işlemlerini belirli bir formatla yazıp sızma testini isteyen firmaya sunulması aşamasıdır.
Pentest/Penetrasyon Yöntemleri Nelerdir?
Black Box Pentest: Bu testi yapacak olan uzmana sistem hakkında hiçbir bilgi verilmez. Sisteme gerçek hacker gibi sızması beklenilir ve sadece herkes tarafından erişilebilir bilgiler ile bu test yapılır.
White Box Pentest: Bu testi yapacak uzmana sistem ve orada çalışanlar hakkında tüm bilgiler verilir. Bu yöntem de amaç saldırganın uzun bir süre sistem içerisinde kalıp, firmaya verebileceği zararı tespit etmektir.
Grey Box Pentest: Bu saldırı hem white box hem de black box testinin arasında bulunmaktadır. Bu testi yapacak olan uzmana sistem hakkında yetkisiz birinin bildiği bilgileri ve bazı yetkiler verilir.