Merhaba değerli TurkHackTeam severleri;
Bugün sizlere Sızma testlerinin çeitlerinden bahsedeceğim.
Bugün sizlere Sızma testlerinin çeitlerinden bahsedeceğim.
Sızma testi dediğimiz yani Penetrasyon testleri bir sisteme yetkililer tarafından izinli veya izinsiz her hangi bir erişim izni verilmeden sisteme yada sunucuda erişim iznine sahip olmasıdır diyebiliriz.
Sızma Testi (Pentest Testleri) 3 başlık altında inceleyebiliriz.Bu başlıklar şöyledir;
- Black Box
- WhiteBox
- GrayBox
Blackbox PenTest nedir?
Blackbox PenTest (siyah kutu) bu tür pentest'lerde sızma ekibine hiçbir bilgi verilmez bilgi toplamadan yetki yükseltmeye kadar sızma testi ekibi sorumludur. Bu tür (blackbox)sızma testinde uzman olmayan kişiler genelde test ekibine alınmaz çünkü bu tür işlemlerde detaylar oldukça önemlidir. Blackbox ekipleri genelde Senior,Expert kişiler oluşturur. Bu ekibin başında ise genelde team leader dediğimiz hemen hemen tüm sızma araçlarına hakim kişiler bulunur.
Bu tür sızma testlerinde fiyat bandı oldukça yüksektir. Çünkü firmalar hem deneyimli çalışanlarını ekibe alırlar hem de blackbox PenTest olduğundan tüm zamanlarını bu PenTest'e harcarlar. Blackbox pentest'lerde özellikle dikkat çok önemlidir çünkü kaçacak en ufak ayrıntı hem zaman hem maddi açıdan kayıplara yol açabilir .
Firmalar blackbox pentestler için genelde ihale yayınlar pentest yapabilecek firmalar ise teklif verir Firmalar genelde pentestleri sertifikalı olarak ister örnek vermek gerekirse (CEH,OSCP,OSWP,GPEN) gibi yine İSO27001 LA da önemli bir etkendir.
Tüm bu faktörler devreye girince fiyat skalasıda yükselir Örnek olarak bir blackbox full pentest de fiyat (100.000 -- 999.999) arası değişir.
WhiteBox PenTest nedir?
WhiteBox Pentest, BlackBox Pentest'in tam tersi olarak sızma testini yapacağı kuruluşa önden bilgi verir. Ardından sızdığı sisteme güzel bir anlatım ile sızdığı sistemin açığını ve nasıl bir yolla o açığı indexlediğini anlatır.Ve sisteme sahip kuruluş da bu açığı kapatarak sisteme karşı bir önlem daha almış olur. Genellikle yasal bir yolla sızma işlemi yapar.Bu sızma girişiminden kurum ile anlaşmasına göre ücret alabilir.
GrayBox PenTest nedir?
GrayBox Pentest ise,WhiteBox PenTest ve BlackBox PenTest arasında biryer diyebiliriz.Sızma testini uygulayacağı firmaya sınırlı bir bilgi verir.Sızmı olduğu firmadan ücret talep eder.Gerekli ücreti aldığı takdirde sızmış olduğu yolu kurum ile paylaşır.