Penetration Test,Pentest ya da Sızma Testi olarak geçen.Penetration Test,Bir sistemde var olan açıkları bulmak,bulunan açığı analiz etmek ve raporlamaktır.Bulunan açıklar mantık hataları gibi zafiyetler olabilir.Bu açıkları önlemek ve kaynak sistemi güvenli hale getirerek gerçekleştirilen güvenlik testleridir.
Penetration(Pentest) Çeşitleri
İç Ağ (Internal) Sızma Testi,Dış Ağ (External) Sızma Testi,Web Uygulama Sızma Testi olarak üçe ayrılır.
Sızma testleri geniş bir alana yayılır.Penetration Tester dediğimiz kişilerin yani testi uygulayacak olanlar.
Kendi çalışma alanlarına göre testlerini uygularlar.Web Uygulama Sızma Testi,Network Sızma Testi,Application Sızma Testi gibi birçok alanlar mevcuttur.Test edici bir saldırganmış gibi sistemi test eder,açıkları listeler ve rapor eder ve Firmaya teslim eder.Benzer şekilde raporların da çeşitleri vardır.Yöneticiye ayrı rapor.Çalışanlara ayrı raporlar sunulur.
Penetration Test aslında genel olarak test araçlarıyla gerçekleştirilir.
Sisteme sızamak için kullanılan yazılımlar:
İç Ağ (Internal) Sızma Testi,Dış Ağ (External) Sızma Testi,Web Uygulama Sızma Testi olarak üçe ayrılır.
Sızma testleri geniş bir alana yayılır.Penetration Tester dediğimiz kişilerin yani testi uygulayacak olanlar.
Kendi çalışma alanlarına göre testlerini uygularlar.Web Uygulama Sızma Testi,Network Sızma Testi,Application Sızma Testi gibi birçok alanlar mevcuttur.Test edici bir saldırganmış gibi sistemi test eder,açıkları listeler ve rapor eder ve Firmaya teslim eder.Benzer şekilde raporların da çeşitleri vardır.Yöneticiye ayrı rapor.Çalışanlara ayrı raporlar sunulur.
Penetration Test aslında genel olarak test araçlarıyla gerçekleştirilir.
Sisteme sızamak için kullanılan yazılımlar:
Nmap
.Nessus
.M.e.t.a.sploit
.Immunity Canvas
.Core Impact
.HP Webinspect
.Inguma
.Hping
.Webscarab
.John the Ripper
.Saint Ssecurity Scanner
.W3af
Pentest yöntemleri için kullanılan yazılamlar:
.ISSAF
.OWASP Guide
.OSTTM
.NIST
Penetration Test yapan firma, testi yapacağı firmaya göre strateji geliştirir. Bunun sonucunda ne tür bir test stratejisiyle devam edeceği belli olur.
Bunlar konuşulur planlar yapılır ve belli bir sure zarfmda sistemler test edilir.
Firmanın alacağı riskler, yapacağı testlerin veri kaybı olması durumunda testl yapan zararlarını üstlenip üstlenmeyeceği. gibi meseleler konuşulmalıdır.
.Nessus
.M.e.t.a.sploit
.Immunity Canvas
.Core Impact
.HP Webinspect
.Inguma
.Hping
.Webscarab
.John the Ripper
.Saint Ssecurity Scanner
.W3af
Pentest yöntemleri için kullanılan yazılamlar:
.ISSAF
.OWASP Guide
.OSTTM
.NIST
Penetration Test yapan firma, testi yapacağı firmaya göre strateji geliştirir. Bunun sonucunda ne tür bir test stratejisiyle devam edeceği belli olur.
Bunlar konuşulur planlar yapılır ve belli bir sure zarfmda sistemler test edilir.
Firmanın alacağı riskler, yapacağı testlerin veri kaybı olması durumunda testl yapan zararlarını üstlenip üstlenmeyeceği. gibi meseleler konuşulmalıdır.
Genel Sızma Testleri
.Network Sızma Testleri
.Wireless Sızma Testleri
.Ddos Saldırısı
.Web Uygulama Sızma Testleri
.Sosyal Mühendislik Sızma Testleri
.Mobil Sızma Testleri
.Voip Sızma Testleri
.Lan Sızma Testleri
.Network Sızma Testleri
.Wireless Sızma Testleri
.Ddos Saldırısı
.Web Uygulama Sızma Testleri
.Sosyal Mühendislik Sızma Testleri
.Mobil Sızma Testleri
.Voip Sızma Testleri
.Lan Sızma Testleri
Penetration Testinin Aşamaları Nelerdir?
.Keşif
.Host Keşfi
.Bilgi Toplama (Aktif, Pasif)
.Port Tarama
.Ağ Analizi
.Vulnerability Assessment
.Exploiting
.Sistemde İlerleme
.Raporlama
.Keşif
.Host Keşfi
.Bilgi Toplama (Aktif, Pasif)
.Port Tarama
.Ağ Analizi
.Vulnerability Assessment
.Exploiting
.Sistemde İlerleme
.Raporlama
Pentest Yöntemleri Nelerdir?
Siyah Kutu (Black Box)
Siyah kutuda test yapılacak firma,sistem hakkında herhangi bir bilgi sahibi olunmadan test gerçekleştirilir.Yanlışlıkla ve beklenmedik bir durumda sisteme zarar verme ihtimalleri de yüksektir.Hacker gözünden sistemde zafiyet aranır ve sisteme giriş sağlanır.
Beyaz Kutu (White Box)
Bu testte test yapacak firma,testi yapacak kişiye birçok bilgi paylaşır ve buna göre işlemler gerçekleştirilir. Genel olarak bu yöntemin yapılmasındaki neden firma içinde çalışan kişilerin yapabileceği saldırılar tespit edilir ve ne tür kayıplar verebilecekleri ön görülür.
Gri Kutu(Grey Box)
Beyaz kutudaki gibi firma detaylı bilgi vermez.Bu test düşük bilgi düzeyindeki kişilerin vereceği zararları gözlemlemek amacıyla yaptırılmaktadır.
Sızma test işlemlerinde en çok kullanılan işletim sistemi Kali Linuxtur.
Firmaların Pentest kavramını öğrenip bu testleri uygulaması oldukça önemli bir meseledir.Aksi halde dahabüyük kayıplara yol açabilir.
Sızma test işlemlerinde en çok kullanılan işletim sistemi Kali Linuxtur.
Firmaların Pentest kavramını öğrenip bu testleri uygulaması oldukça önemli bir meseledir.Aksi halde dahabüyük kayıplara yol açabilir.
