PENTEST (SIZMA TESTİ) HİZMETİ

10 yılı aşan siber güvenlik uzmanlığı

Pentest (Sızma Testi) Hizmeti

  • Ağ ve sistem sızma testleri
  • Web uygulamaları ve HTTP servislerini kullanan masaüstü uygulamalar için sızma testleri (pentest)
  • Android, iOS, OS X, Windows istemci uygulamaları sızma testleri (pentest)
  • Yukarıdaki bileşenlerin birden fazlasını içeren platform sızma testleri (pentest)
  • Servis kesinti riskine yönelik yük ve dağıtık hizmet kesinti (DDOS) testleri
  • Kullanıcı (insan) katmanına yönelik sosyal mühendislik testleri (oltalama yöntemi ve telefon ile manipülasyon testleri)

Pentest (Sızma Testi) kapsamında gerçekleştirilen güvenlik denetimleri ağ, sistem ve uygulama katmanlarındaki teknolojilere ilişkin açıklıkları tespit ederek gizlilik ihlali, veri manipülasyonu ve hizmet kesintisi risklerinin ortadan kaldırılabilmesini sağlar.

Kullanıcı katmanına yönelik sosyal mühendislik testlerimiz bu katmanın farkındalık seviyesinin belirlenebilmesi ve güçlendirilmesini hedefler.

  • Ağ ve sistem sızma testleri
  • Web uygulamaları ve HTTP servislerini kullanan masaüstü uygulamalar için sızma testleri (pentest)
  • Android, iOS, OS X, Windows istemci uygulamaları sızma testleri (pentest)
  • Yukarıdaki bileşenlerin birden fazlasını içeren platform sızma testleri (pentest)
  • Servis kesinti riskine yönelik yük ve dağıtık hizmet kesinti (DDOS) testleri
  • Kullanıcı (insan) katmanına yönelik sosyal mühendislik testleri (oltalama yöntemi ve telefon ile manipülasyon testleri)

 

BTRisk ağ ve uygulama pentest hizmet metodlarını en iyi uygulamalar ve edindiği deneyimler doğrultusunda geliştirmiştir. Pentest hizmetlerimiz olası hizmet kesinti riskini en aza indirecek biçimde planlanır, veri bozulmasına yol açabilecek testler kontrollü biçimde gerçekleştirilir. Aşağıda temel adımları belirtilen pentest metodlarımız ilgili teknolojilere uygun ve sağlanan fonksiyonalitenin kötüye kullanımını hedefleyen ek adımlarla desteklenir.

Ağ güvenliği denetim metodumuz temel olarak aşağıdaki adımları içerir:

  • Hedef ağ ve sistemler hakkında bilgi toplama, canlı sistemlerin tespiti.
  • Canlı sistemler üzerinde mevcut servislerin tespiti.
  • Hedef işletim sistemi ve ağ servisleri versiyonlarının analizi.
  • Sistem üzerinde bulunan öntanımlı ve diğer kullanıcı kodlarının analizi.
  • Tespit edilen sistem ve servis versiyonları için mevcut açıklıkların açıklık veritabanlarından
  • Talep edilmesi halinde hafıza bozulmasından kaynaklanan veya veri bütünlüğüne zarar verebilecek türdeki açıklıklar için saldırı kodlarının hedef sistemlere yönelik olarak kullanılması.
  • Talep edilmesi halinde tespit edilen kullanıcı kodları ve/veya öntanımlı kullanıcı kodları için kaba kuvvet parola saldırısının gerçekleştirilmesi.

Web ve mobil uygulama denetim metodumuz temel olarak aşağıdaki adımları içerir:

  • Uygulama fonksiyonalitesinin anlaşılması ve uygulama mimarisinin belirlenmesi.
  • Mobil uygulamalar ve tarayıcıda çalışan istemci uygulamalarının tersine mühendisliğe tabi tutularak bu uygulamalar içinde bulunan girdi ve güvenlik kontrollerinin, kullanılan ve kullanılmayan uygulama fonksiyonlarının tespiti.
  • Tüm uygulama girdi noktalarının belirlenmesi. Bu girdi noktalarına yönelik olarak çeşitli katmanlarda manipülasyona neden olabilecek türde girdilerin gönderilmesi ve uygulama tepkilerinin izlenmesi.
  • Kontrol mantık hatalarını tespit etmeye yönelik manipülasyon testlerinin gerçekleştirilmesi.
  • Uygulama yatay ve dikey erişim kontrollerinin test edilmesi.
  • Yetkisiz oturum erişim testlerinin gerçekleştirilmesi.
  • Uygulama platformunu destekleyen altyapı ve web servislerine yönelik sızma testinin gerçekleştirilmesi.
  • (Backend) içerik tespit taramalarının gerçekleştirilmesi.
  • Uygulama kullanıcı ve parola yönetim fonksiyonalitesi ve süreçlerinin değerlendirilmesi.