Penetration Testing

Türkiye.

Türkiye.

Üye
28 Nis 2022
105
84

byz2o37.jpg

PENETRATİON TESTİNG
1 PENTESTER NEDİR ?
Penetration Testing Yapan Kişilere Verilen İsimdir pentester dışarıdan saldırı düzenleyerek sistemi expolit etmeye çalışır bir hacker gibi düşünüp web siteye saldırı düzenlemek zorundadır
Çünkü başka türlü güvenliği sağlayamaz pentestler birçok bilgiyi pyhton dili ve fazlasını bilir
Pentest Uzmanı Ne Yapar ?
Bilişim sistemlerinin açıklarını bulup bu açıkları raporlayabilen ve ihtiyaç duyulması halinde açıların kapanması konusunda gerekli tekniklere sahip olan uzmandır


Types-of-Penetration-Testing.png

Pentester Nasıl Olunur ?
Çalışmak İçin İyi Becerilere sahip olmak ve sosyal mühendisliği bilmek gereklidir görev genellikle şirket için koruma sağlayan deneyimli kişiler olmak gerekir

Penetration Testing Nedir ?
Türkçe Anlamı sızma testi demektir burdaki amaç kötü niyetli saldırganlara karşı sistemleri koruma testidir açıkları önceden tespit edip önlemler alınmalıdır yoksa ciddi zararlar olabilir

penetration-testing-to-assess-security-staff-01.png



Penetrasyon Testi Aşamaları​
1. HEDEF​
Testimizin İlk Aşaması Burda Ekip Bir Araya Gelir Testin Amacı Ve Hangi sistemler tarafından uygulanacağı belirlenir
2.DNS​
Burada Dns Sunucularının Belirlenmesi
Zone Testleri
Dns Subdomain Testleri
Dns Brute Force ile kayıtların okunması
E posta Testi
E posta Analizi
Sahte E Posta Erişim Testleri
3.Bilgi Toplama​
Belirlediğimiz Hedefler Doğrultusunda Ekip sistem ile iletişime geçmeyen çalışmalar yaparlar çalışmanın sonucunda saldırganların nasıl bilgi edindiği
sonrada sistem ile iletişime geçerek çalışmalar yaparlar sistemin alt yapısı programlama dilleri uygulamaysa versiyon bilgileri v.s
bilgiler toplanır burdaki bilgilerle bir sonraki aşamada kullanırlar

blog-9-Penetration-Testing-Types.png

4. Açık Tespiti​
Sızma Testi (Penetration Testing) Yapan Ekip Sistem topladıkları bigiler ile sistemde bulunan güvenlik araçlarını kullanırlar
güvenlik araçları tespitinde sistemler otomatize araçlarla taranır sistemlerin port servis ve versiyon kontrölleri
gerçekleştirilir siber güvenlik ekipleri bu sayede açıkları tespit ederler
5.Analiz​
Açık Tespitinden Sonra elde ettiğimiz bilgilerle sistemde bulunan güvenlik açıklarını kapatmak için gerekli analizler
ve plan yapılır sömürü için yazılım araçları hazırlanır​
6.Saldırgan Bakış Açısı​
Ekipler Sistemde ettikleri güvenlik bilgilerini bir saldırgan bakış açısı ile saldırmaya ve bu açığın etkilerini test ederler bu yüzden önemli bir maddedir
buradaki asıl hedef kısaca saldırganın nasıl bilgiler elde edeceği hangi yerlere girip giremeyeceği ve hangi yetkilere sahip olacağı test edilir​
images
7.Saldırgan Yetkisi​

Yetki Aşamasında Siber Güvenlikçiler Sistemin Yetkisini Alıp Alamayacağı Test Edilir
8.Temizleme
Yüklenen Dosyalar kullanılan yazılımlar dosyalar araçlar v.s sistemden kaldırılır
9. Rapor​
Siber Güvenlik Ekibi Penetration Testi sonucu oluşan açıkları riskleri çözümlerin özeti çıkarılır bu yüzden saldırganlara karşı erken tedbir alınır
BU TESTİN ÖNEMİ NEDİR​
Bu test ile kurumun veya şirketin güvenlik alt yapısını açıklarını test edebilirisniz
Erken Önlem Alarak Saldırganların Vereceği Hasarı Azaltabilirsiniz
Sızma Testinin 7.maddede belirttiğim gibi hangi yetkileri alıpalamadığımız konrol edilir
Versiyonları Kontrol Ederiz
Sızma Testinde İle Karşılaşabildiğimiz Tehditleri Ve Riskleri Değerlendirebilriz
thumb_shutterstock_394210084_1024.jpg
Belli Başlı Sızma Çeşitleri​
DDos Sızma Testi.Sosyal Mühendislik sızma Testi ve wireless sızma testi gibi çeşitlerede ayrılır
DDos Sızma Testinde Ne Yaşanır ?​
Sızma Testi Çeşiti Olan ddOs sızma testinden kısaca bahsedeceğim saldırganların sahip olduğu potansiyele göre
saldırılar sırasında sunulan hizmet devre dışı kalır ddos saldırısına uğrayan
sistemin bu tarz saldırılara karşı kendini savunması önemlidir veya önceden
kötü niyetli kişilerin saldırı yapmasını engellemelisiniz​
NetWork Sızma Testi
23-239224_gray-box-penetration-testing-black-box-pen-test.png

WhiteBox Pentest​
Türkçe Karşılığı Beyaz Kutu Pentest networktaki sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür çalışanlardan birinin network e girmeye ve
zarar vermeye çalışmasının simulasyonudur
BlackBox Pentest​

Türkçesi Siyah Kutu Penetrasyon Testidir bu testte saldırı yapılacak networkun hiçbir bigi sahibi olamadan yaptığı saldırı türüdür bilgi sahibi olmadan dışarıdan
network e nasıl zarar vereceği test edilir​
GreyBox Pentest​
Türkçesi Gri Kutu Penetrasyon Testidir networkta bulunan yetkisiz bir kullanıcının sisteme verebileceği zararın
analiz edilmesini sağlar veri çalınması yetki yükseltme gibi network zayıflıkları denetlenir

PENETRATİON TESTİNG ARAÇLARI
1>MetaSploit​
1*-mVgJOnMCM9Xu_1CIhVMqQ.jpeg

Ruby Dili İle Yazılmıştır açık kaynak kodlu testing araçtır Metasploit frework cihazlar üzerinde bulunan
zafiyetlerin exploit edilmesi amacıyla geliştirlmiş bir fremework tur
2>WireShark​
images

Bilgisayara ulaşan paketleri yakalamaya ve bu paketlerin içeriğini görüntülemeye imkan tanır başka bir deyişle bilgisayara bağlı
olan her türlü ağ kartlarındaki ıp mesajlarını analiz eden bir programdır​
3>Netsparker​
Netsparker-Logo-CMYK.png
Bir Web güvenlik tarayıcısı olarak web uygulamarında var olan açıklıkları tespit etmek için kullanılan yaygın bir yazılım türüdür​

4>Core Impact
20210120-Core-impact-mobile-1.jpg

Sistem aygıt ve uygulamalar arasında pivot yapan saldırıların çoğaltmasını güçlendiren ve kötüye kullanma zincirinin görevde kritik sistemleri ve verileri
büyük riskler olusturduğu ortaya koyan çözümdür
5>Nmap [Network Mapper]
thumb_44_750x300_0_0_crop.png
Ağları Taramak ve bu tarama sonucunda ağla ilgili bilgiler elde etmek amacı ile kullanılan açık kaynaklı bir
Linux Komut Aracıdır ağ yöneticileri Nmap ile güvenlik açıklarını cihazların çalışıp çalışmadığı ve açık bağlantı
noktalarını incelemek için tarama gerçekleştirir​

34i6rgo.png









 
darksideofwww

darksideofwww

Katılımcı Üye
28 Tem 2022
915
515
dsowww
Türkiye.' Alıntı:

byz2o37.jpg

PENETRATİON TESTİNG
1 PENTESTER NEDİR ?
Penetration Testing Yapan Kişilere Verilen İsimdir pentester dışarıdan saldırı düzenleyerek sistemi expolit etmeye çalışır bir hacker gibi düşünüp web siteye saldırı düzenlemek zorundadır
Çünkü başka türlü güvenliği sağlayamaz pentestler birçok bilgiyi pyhton dili ve fazlasını bilir
Pentest Uzmanı Ne Yapar ?
Bilişim sistemlerinin açıklarını bulup bu açıkları raporlayabilen ve ihtiyaç duyulması halinde açıların kapanması konusunda gerekli tekniklere sahip olan uzmandır


Types-of-Penetration-Testing.png

Pentester Nasıl Olunur ?
Çalışmak İçin İyi Becerilere sahip olmak ve sosyal mühendisliği bilmek gereklidir görev genellikle şirket için koruma sağlayan deneyimli kişiler olmak gerekir

Penetration Testing Nedir ?
Türkçe Anlamı sızma testi demektir burdaki amaç kötü niyetli saldırganlara karşı sistemleri koruma testidir açıkları önceden tespit edip önlemler alınmalıdır yoksa ciddi zararlar olabilir

penetration-testing-to-assess-security-staff-01.png



Penetrasyon Testi Aşamaları

1. HEDEF

Testimizin İlk Aşaması Burda Ekip Bir Araya Gelir Testin Amacı Ve Hangi sistemler tarafından uygulanacağı belirlenir



2.DNS

Burada Dns Sunucularının Belirlenmesi

Zone Testleri

Dns Subdomain Testleri

Dns Brute Force ile kayıtların okunması

E posta Testi

E posta Analizi

Sahte E Posta Erişim Testleri



3.Bilgi Toplama

Belirlediğimiz Hedefler Doğrultusunda Ekip sistem ile iletişime geçmeyen çalışmalar yaparlar çalışmanın sonucunda saldırganların nasıl bilgi edindiği

sonrada sistem ile iletişime geçerek çalışmalar yaparlar sistemin alt yapısı programlama dilleri uygulamaysa versiyon bilgileri v.s

bilgiler toplanır burdaki bilgilerle bir sonraki aşamada kullanırlar



blog-9-Penetration-Testing-Types.png








4. Açık Tespiti



Sızma Testi (Penetration Testing) Yapan Ekip Sistem topladıkları bigiler ile sistemde bulunan güvenlik araçlarını kullanırlar

güvenlik araçları tespitinde sistemler otomatize araçlarla taranır sistemlerin port servis ve versiyon kontrölleri

gerçekleştirilir siber güvenlik ekipleri bu sayede açıkları tespit ederler



5.Analiz

Açık Tespitinden Sonra elde ettiğimiz bilgilerle sistemde bulunan güvenlik açıklarını kapatmak için gerekli analizler

ve plan yapılır sömürü için yazılım araçları hazırlanır



6.Saldırgan Bakış Açısı

Ekipler Sistemde ettikleri güvenlik bilgilerini bir saldırgan bakış açısı ile saldırmaya ve bu açığın etkilerini test ederler bu yüzden önemli bir maddedir

buradaki asıl hedef kısaca saldırganın nasıl bilgiler elde edeceği hangi yerlere girip giremeyeceği ve hangi yetkilere sahip olacağı test edilir

images




7.Saldırgan Yetkisi



Yetki Aşamasında Siber Güvenlikçiler Sistemin Yetkisini Alıp Alamayacağı Test Edilir



8.Temizleme



Yüklenen Dosyalar kullanılan yazılımlar dosyalar araçlar v.s sistemden kaldırılır



9. Rapor

Siber Güvenlik Ekibi Penetration Testi sonucu oluşan açıkları riskleri çözümlerin özeti çıkarılır bu yüzden saldırganlara karşı erken tedbir alınır



BU TESTİN ÖNEMİ NEDİR



Bu test ile kurumun veya şirketin güvenlik alt yapısını açıklarını test edebilirisniz

Erken Önlem Alarak Saldırganların Vereceği Hasarı Azaltabilirsiniz

Sızma Testinin 7.maddede belirttiğim gibi hangi yetkileri alıpalamadığımız konrol edilir

Versiyonları Kontrol Ederiz

Sızma Testinde İle Karşılaşabildiğimiz Tehditleri Ve Riskleri Değerlendirebilriz



thumb_shutterstock_394210084_1024.jpg




Belli Başlı Sızma Çeşitleri

DDos Sızma Testi.Sosyal Mühendislik sızma Testi ve wireless sızma testi gibi çeşitlerede ayrılır



DDos Sızma Testinde Ne Yaşanır ?

Sızma Testi Çeşiti Olan ddOs sızma testinden kısaca bahsedeceğim saldırganların sahip olduğu potansiyele göre

saldırılar sırasında sunulan hizmet devre dışı kalır ddos saldırısına uğrayan

sistemin bu tarz saldırılara karşı kendini savunması önemlidir veya önceden

kötü niyetli kişilerin saldırı yapmasını engellemelisiniz





NetWork Sızma Testi









23-239224_gray-box-penetration-testing-black-box-pen-test.png










WhiteBox Pentest

Türkçe Karşılığı Beyaz Kutu Pentest networktaki sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür çalışanlardan birinin network e girmeye ve

zarar vermeye çalışmasının simulasyonudur



BlackBox Pentest



Türkçesi Siyah Kutu Penetrasyon Testidir bu testte saldırı yapılacak networkun hiçbir bigi sahibi olamadan yaptığı saldırı türüdür bilgi sahibi olmadan dışarıdan

network e nasıl zarar vereceği test edilir

GreyBox Pentest

Türkçesi Gri Kutu Penetrasyon Testidir networkta bulunan yetkisiz bir kullanıcının sisteme verebileceği zararın

analiz edilmesini sağlar veri çalınması yetki yükseltme gibi network zayıflıkları denetlenir









PENETRATİON TESTİNG ARAÇLARI



1>MetaSploit



1*-mVgJOnMCM9Xu_1CIhVMqQ.jpeg




Ruby Dili İle Yazılmıştır açık kaynak kodlu testing araçtır Metasploit frework cihazlar üzerinde bulunan

zafiyetlerin exploit edilmesi amacıyla geliştirlmiş bir fremework tur



2>WireShark





images






Bilgisayara ulaşan paketleri yakalamaya ve bu paketlerin içeriğini görüntülemeye imkan tanır başka bir deyişle bilgisayara bağlı

olan her türlü ağ kartlarındaki ıp mesajlarını analiz eden bir programdır

3>Netsparker





Netsparker-Logo-CMYK.png






Bir Web güvenlik tarayıcısı olarak web uygulamarında var olan açıklıkları tespit etmek için kullanılan yaygın bir yazılım türüdür



4>Core Impact

20210120-Core-impact-mobile-1.jpg






Sistem aygıt ve uygulamalar arasında pivot yapan saldırıların çoğaltmasını güçlendiren ve kötüye kullanma zincirinin görevde kritik sistemleri ve verileri

büyük riskler olusturduğu ortaya koyan çözümdür



5>Nmap [Network Mapper]



thumb_44_750x300_0_0_crop.png






Ağları Taramak ve bu tarama sonucunda ağla ilgili bilgiler elde etmek amacı ile kullanılan açık kaynaklı bir

Linux Komut Aracıdır ağ yöneticileri Nmap ile güvenlik açıklarını cihazların çalışıp çalışmadığı ve açık bağlantı

noktalarını incelemek için tarama gerçekleştirir







34i6rgo.png






















Genişletmek için tıkla ...
Güzel olmuş eline sağlık
 
ankamurat

ankamurat

Katılımcı Üye
24 Eyl 2022
453
185
┌─(root@ankamurat)
Türkiye.' Alıntı:

byz2o37.jpg

PENETRATİON TESTİNG
1 PENTESTER NEDİR ?
Penetration Testing Yapan Kişilere Verilen İsimdir pentester dışarıdan saldırı düzenleyerek sistemi expolit etmeye çalışır bir hacker gibi düşünüp web siteye saldırı düzenlemek zorundadır
Çünkü başka türlü güvenliği sağlayamaz pentestler birçok bilgiyi pyhton dili ve fazlasını bilir
Pentest Uzmanı Ne Yapar ?
Bilişim sistemlerinin açıklarını bulup bu açıkları raporlayabilen ve ihtiyaç duyulması halinde açıların kapanması konusunda gerekli tekniklere sahip olan uzmandır


Types-of-Penetration-Testing.png

Pentester Nasıl Olunur ?
Çalışmak İçin İyi Becerilere sahip olmak ve sosyal mühendisliği bilmek gereklidir görev genellikle şirket için koruma sağlayan deneyimli kişiler olmak gerekir

Penetration Testing Nedir ?
Türkçe Anlamı sızma testi demektir burdaki amaç kötü niyetli saldırganlara karşı sistemleri koruma testidir açıkları önceden tespit edip önlemler alınmalıdır yoksa ciddi zararlar olabilir

penetration-testing-to-assess-security-staff-01.png



Penetrasyon Testi Aşamaları

1. HEDEF

Testimizin İlk Aşaması Burda Ekip Bir Araya Gelir Testin Amacı Ve Hangi sistemler tarafından uygulanacağı belirlenir



2.DNS

Burada Dns Sunucularının Belirlenmesi

Zone Testleri

Dns Subdomain Testleri

Dns Brute Force ile kayıtların okunması

E posta Testi

E posta Analizi

Sahte E Posta Erişim Testleri



3.Bilgi Toplama

Belirlediğimiz Hedefler Doğrultusunda Ekip sistem ile iletişime geçmeyen çalışmalar yaparlar çalışmanın sonucunda saldırganların nasıl bilgi edindiği

sonrada sistem ile iletişime geçerek çalışmalar yaparlar sistemin alt yapısı programlama dilleri uygulamaysa versiyon bilgileri v.s

bilgiler toplanır burdaki bilgilerle bir sonraki aşamada kullanırlar



blog-9-Penetration-Testing-Types.png








4. Açık Tespiti



Sızma Testi (Penetration Testing) Yapan Ekip Sistem topladıkları bigiler ile sistemde bulunan güvenlik araçlarını kullanırlar

güvenlik araçları tespitinde sistemler otomatize araçlarla taranır sistemlerin port servis ve versiyon kontrölleri

gerçekleştirilir siber güvenlik ekipleri bu sayede açıkları tespit ederler



5.Analiz

Açık Tespitinden Sonra elde ettiğimiz bilgilerle sistemde bulunan güvenlik açıklarını kapatmak için gerekli analizler

ve plan yapılır sömürü için yazılım araçları hazırlanır



6.Saldırgan Bakış Açısı

Ekipler Sistemde ettikleri güvenlik bilgilerini bir saldırgan bakış açısı ile saldırmaya ve bu açığın etkilerini test ederler bu yüzden önemli bir maddedir

buradaki asıl hedef kısaca saldırganın nasıl bilgiler elde edeceği hangi yerlere girip giremeyeceği ve hangi yetkilere sahip olacağı test edilir

images




7.Saldırgan Yetkisi



Yetki Aşamasında Siber Güvenlikçiler Sistemin Yetkisini Alıp Alamayacağı Test Edilir



8.Temizleme



Yüklenen Dosyalar kullanılan yazılımlar dosyalar araçlar v.s sistemden kaldırılır



9. Rapor

Siber Güvenlik Ekibi Penetration Testi sonucu oluşan açıkları riskleri çözümlerin özeti çıkarılır bu yüzden saldırganlara karşı erken tedbir alınır



BU TESTİN ÖNEMİ NEDİR



Bu test ile kurumun veya şirketin güvenlik alt yapısını açıklarını test edebilirisniz

Erken Önlem Alarak Saldırganların Vereceği Hasarı Azaltabilirsiniz

Sızma Testinin 7.maddede belirttiğim gibi hangi yetkileri alıpalamadığımız konrol edilir

Versiyonları Kontrol Ederiz

Sızma Testinde İle Karşılaşabildiğimiz Tehditleri Ve Riskleri Değerlendirebilriz



thumb_shutterstock_394210084_1024.jpg




Belli Başlı Sızma Çeşitleri

DDos Sızma Testi.Sosyal Mühendislik sızma Testi ve wireless sızma testi gibi çeşitlerede ayrılır



DDos Sızma Testinde Ne Yaşanır ?

Sızma Testi Çeşiti Olan ddOs sızma testinden kısaca bahsedeceğim saldırganların sahip olduğu potansiyele göre

saldırılar sırasında sunulan hizmet devre dışı kalır ddos saldırısına uğrayan

sistemin bu tarz saldırılara karşı kendini savunması önemlidir veya önceden

kötü niyetli kişilerin saldırı yapmasını engellemelisiniz





NetWork Sızma Testi









23-239224_gray-box-penetration-testing-black-box-pen-test.png










WhiteBox Pentest

Türkçe Karşılığı Beyaz Kutu Pentest networktaki sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür çalışanlardan birinin network e girmeye ve

zarar vermeye çalışmasının simulasyonudur



BlackBox Pentest



Türkçesi Siyah Kutu Penetrasyon Testidir bu testte saldırı yapılacak networkun hiçbir bigi sahibi olamadan yaptığı saldırı türüdür bilgi sahibi olmadan dışarıdan

network e nasıl zarar vereceği test edilir

GreyBox Pentest

Türkçesi Gri Kutu Penetrasyon Testidir networkta bulunan yetkisiz bir kullanıcının sisteme verebileceği zararın

analiz edilmesini sağlar veri çalınması yetki yükseltme gibi network zayıflıkları denetlenir









PENETRATİON TESTİNG ARAÇLARI



1>MetaSploit



1*-mVgJOnMCM9Xu_1CIhVMqQ.jpeg




Ruby Dili İle Yazılmıştır açık kaynak kodlu testing araçtır Metasploit frework cihazlar üzerinde bulunan

zafiyetlerin exploit edilmesi amacıyla geliştirlmiş bir fremework tur



2>WireShark





images






Bilgisayara ulaşan paketleri yakalamaya ve bu paketlerin içeriğini görüntülemeye imkan tanır başka bir deyişle bilgisayara bağlı

olan her türlü ağ kartlarındaki ıp mesajlarını analiz eden bir programdır

3>Netsparker





Netsparker-Logo-CMYK.png






Bir Web güvenlik tarayıcısı olarak web uygulamarında var olan açıklıkları tespit etmek için kullanılan yaygın bir yazılım türüdür



4>Core Impact

20210120-Core-impact-mobile-1.jpg






Sistem aygıt ve uygulamalar arasında pivot yapan saldırıların çoğaltmasını güçlendiren ve kötüye kullanma zincirinin görevde kritik sistemleri ve verileri

büyük riskler olusturduğu ortaya koyan çözümdür



5>Nmap [Network Mapper]



thumb_44_750x300_0_0_crop.png






Ağları Taramak ve bu tarama sonucunda ağla ilgili bilgiler elde etmek amacı ile kullanılan açık kaynaklı bir

Linux Komut Aracıdır ağ yöneticileri Nmap ile güvenlik açıklarını cihazların çalışıp çalışmadığı ve açık bağlantı

noktalarını incelemek için tarama gerçekleştirir







34i6rgo.png






















Genişletmek için tıkla ...
eline sağlık gayet anlaşılır
 
kurononyanko

kurononyanko

Katılımcı Üye
6 Şub 2022
534
397
Pentest bence bu alanda en cezbedici bir o kadar da geniş bir dal. Şayet pentest işinde iyi olsaydım:
Bir açığın kapanmasını sağlarken, o açık üzerinde uğraşarak kapatılsa dahi kullanmanın yolunu bulurdum. Yani her zaman en az 2 adım önde olmak gerekir. "Hack" nihayetinde bunu gerektirir. Ve bir çok hacker olmak veya buralarda araştırma yapan insanlardaki eksik maalesef bu. Alınmayın bu yazdığıma ancak kaybettiğiniz nokta 1 değil, 2 adım öteyi düşünmemekten geçiyor :) Bir eski yazılımcı olarak, keza Black-King hocamızın da yaptığı bir olay vardır. Kendi yaptığınız yazılımı heklemek, heklediğinizde aldığınız tedbir ve o tedbiri de heklemek(bypasslamak) ta ki bilmediğiniz noktaya gelene kadar devam etmek. Tabi ki bilin ki tıkandığınız o noktayı da başaranlar olacaktır. O yüzden durmak yok ;)
 
Muslukcu

Muslukcu

Katılımcı Üye
17 Kas 2021
699
262
Tesisat dükkanı
Türkiye.' Alıntı:

byz2o37.jpg

PENETRATİON TESTİNG
1 PENTESTER NEDİR ?
Penetration Testing Yapan Kişilere Verilen İsimdir pentester dışarıdan saldırı düzenleyerek sistemi expolit etmeye çalışır bir hacker gibi düşünüp web siteye saldırı düzenlemek zorundadır
Çünkü başka türlü güvenliği sağlayamaz pentestler birçok bilgiyi pyhton dili ve fazlasını bilir
Pentest Uzmanı Ne Yapar ?
Bilişim sistemlerinin açıklarını bulup bu açıkları raporlayabilen ve ihtiyaç duyulması halinde açıların kapanması konusunda gerekli tekniklere sahip olan uzmandır


Types-of-Penetration-Testing.png

Pentester Nasıl Olunur ?
Çalışmak İçin İyi Becerilere sahip olmak ve sosyal mühendisliği bilmek gereklidir görev genellikle şirket için koruma sağlayan deneyimli kişiler olmak gerekir

Penetration Testing Nedir ?
Türkçe Anlamı sızma testi demektir burdaki amaç kötü niyetli saldırganlara karşı sistemleri koruma testidir açıkları önceden tespit edip önlemler alınmalıdır yoksa ciddi zararlar olabilir

penetration-testing-to-assess-security-staff-01.png



Penetrasyon Testi Aşamaları

1. HEDEF

Testimizin İlk Aşaması Burda Ekip Bir Araya Gelir Testin Amacı Ve Hangi sistemler tarafından uygulanacağı belirlenir



2.DNS

Burada Dns Sunucularının Belirlenmesi

Zone Testleri

Dns Subdomain Testleri

Dns Brute Force ile kayıtların okunması

E posta Testi

E posta Analizi

Sahte E Posta Erişim Testleri



3.Bilgi Toplama

Belirlediğimiz Hedefler Doğrultusunda Ekip sistem ile iletişime geçmeyen çalışmalar yaparlar çalışmanın sonucunda saldırganların nasıl bilgi edindiği

sonrada sistem ile iletişime geçerek çalışmalar yaparlar sistemin alt yapısı programlama dilleri uygulamaysa versiyon bilgileri v.s

bilgiler toplanır burdaki bilgilerle bir sonraki aşamada kullanırlar



blog-9-Penetration-Testing-Types.png








4. Açık Tespiti



Sızma Testi (Penetration Testing) Yapan Ekip Sistem topladıkları bigiler ile sistemde bulunan güvenlik araçlarını kullanırlar

güvenlik araçları tespitinde sistemler otomatize araçlarla taranır sistemlerin port servis ve versiyon kontrölleri

gerçekleştirilir siber güvenlik ekipleri bu sayede açıkları tespit ederler



5.Analiz

Açık Tespitinden Sonra elde ettiğimiz bilgilerle sistemde bulunan güvenlik açıklarını kapatmak için gerekli analizler

ve plan yapılır sömürü için yazılım araçları hazırlanır



6.Saldırgan Bakış Açısı

Ekipler Sistemde ettikleri güvenlik bilgilerini bir saldırgan bakış açısı ile saldırmaya ve bu açığın etkilerini test ederler bu yüzden önemli bir maddedir

buradaki asıl hedef kısaca saldırganın nasıl bilgiler elde edeceği hangi yerlere girip giremeyeceği ve hangi yetkilere sahip olacağı test edilir

images




7.Saldırgan Yetkisi



Yetki Aşamasında Siber Güvenlikçiler Sistemin Yetkisini Alıp Alamayacağı Test Edilir



8.Temizleme



Yüklenen Dosyalar kullanılan yazılımlar dosyalar araçlar v.s sistemden kaldırılır



9. Rapor

Siber Güvenlik Ekibi Penetration Testi sonucu oluşan açıkları riskleri çözümlerin özeti çıkarılır bu yüzden saldırganlara karşı erken tedbir alınır



BU TESTİN ÖNEMİ NEDİR



Bu test ile kurumun veya şirketin güvenlik alt yapısını açıklarını test edebilirisniz

Erken Önlem Alarak Saldırganların Vereceği Hasarı Azaltabilirsiniz

Sızma Testinin 7.maddede belirttiğim gibi hangi yetkileri alıpalamadığımız konrol edilir

Versiyonları Kontrol Ederiz

Sızma Testinde İle Karşılaşabildiğimiz Tehditleri Ve Riskleri Değerlendirebilriz



thumb_shutterstock_394210084_1024.jpg




Belli Başlı Sızma Çeşitleri

DDos Sızma Testi.Sosyal Mühendislik sızma Testi ve wireless sızma testi gibi çeşitlerede ayrılır



DDos Sızma Testinde Ne Yaşanır ?

Sızma Testi Çeşiti Olan ddOs sızma testinden kısaca bahsedeceğim saldırganların sahip olduğu potansiyele göre

saldırılar sırasında sunulan hizmet devre dışı kalır ddos saldırısına uğrayan

sistemin bu tarz saldırılara karşı kendini savunması önemlidir veya önceden

kötü niyetli kişilerin saldırı yapmasını engellemelisiniz





NetWork Sızma Testi









23-239224_gray-box-penetration-testing-black-box-pen-test.png










WhiteBox Pentest

Türkçe Karşılığı Beyaz Kutu Pentest networktaki sistemlerden bilgi sahibi olarak yapılan sızma testi türüdür çalışanlardan birinin network e girmeye ve

zarar vermeye çalışmasının simulasyonudur



BlackBox Pentest



Türkçesi Siyah Kutu Penetrasyon Testidir bu testte saldırı yapılacak networkun hiçbir bigi sahibi olamadan yaptığı saldırı türüdür bilgi sahibi olmadan dışarıdan

network e nasıl zarar vereceği test edilir

GreyBox Pentest

Türkçesi Gri Kutu Penetrasyon Testidir networkta bulunan yetkisiz bir kullanıcının sisteme verebileceği zararın

analiz edilmesini sağlar veri çalınması yetki yükseltme gibi network zayıflıkları denetlenir









PENETRATİON TESTİNG ARAÇLARI



1>MetaSploit



1*-mVgJOnMCM9Xu_1CIhVMqQ.jpeg




Ruby Dili İle Yazılmıştır açık kaynak kodlu testing araçtır Metasploit frework cihazlar üzerinde bulunan

zafiyetlerin exploit edilmesi amacıyla geliştirlmiş bir fremework tur



2>WireShark





images






Bilgisayara ulaşan paketleri yakalamaya ve bu paketlerin içeriğini görüntülemeye imkan tanır başka bir deyişle bilgisayara bağlı

olan her türlü ağ kartlarındaki ıp mesajlarını analiz eden bir programdır

3>Netsparker





Netsparker-Logo-CMYK.png






Bir Web güvenlik tarayıcısı olarak web uygulamarında var olan açıklıkları tespit etmek için kullanılan yaygın bir yazılım türüdür



4>Core Impact

20210120-Core-impact-mobile-1.jpg






Sistem aygıt ve uygulamalar arasında pivot yapan saldırıların çoğaltmasını güçlendiren ve kötüye kullanma zincirinin görevde kritik sistemleri ve verileri

büyük riskler olusturduğu ortaya koyan çözümdür



5>Nmap [Network Mapper]



thumb_44_750x300_0_0_crop.png






Ağları Taramak ve bu tarama sonucunda ağla ilgili bilgiler elde etmek amacı ile kullanılan açık kaynaklı bir

Linux Komut Aracıdır ağ yöneticileri Nmap ile güvenlik açıklarını cihazların çalışıp çalışmadığı ve açık bağlantı

noktalarını incelemek için tarama gerçekleştirir







34i6rgo.png






















Genişletmek için tıkla ...
Elinize saglik
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.