Pentest (Sızma Testi) Nedir?

PENTEST (SIZMA TESTİ) NEDİR?

Pentest (Sızma Testi) hedeflenen sistemlere ve verilere yetkisiz erişim sağlamayı hedefleyen bir siber saldırı simülasyonudur.

Pentest (Sızma Testi) ana hatları ile hedeflenen sistem ve uygulamaların varlığının tespiti, analizi ve açıklık barındırıp barındırmadıklarının değerlendirilmesi sonrasında istismar (exploit) edilerek sistem ve verilere yetkisiz erişim sağlanması şeklinde uygulanır.

 

PENTEST (SIZMA TESTİ) METODOLOJİLERİ

Pentest (Sızma Testi) metodolojileri örnekleri olarak Network Pentest (Ağ Sızma Testi) ve Web Application Pentest (Web Uygulama Sızma Testi) metodolojileri üzerinden konuşabiliriz. Bu test türlerinin dışında Mobile Application Penetration Testing (Mobil Uygulama Sızma Testi), Social Engineering Testing (Sosyal Mühendislik Testi) ve DDOS test türleri için de uygulanabilecek metodolojilerden de söz edilebilir. Hatta son derece etkili olan ve bazı Pentest (Sızma Testi) çalışmalarında da faydalanılan Red Team taktiklerinden de söz edilebilir. Ancak konuyu dağıtmamak adına bu test türlerine ve taktiklere değinmeyeceğiz.

Network Pentest (Ağ Sızma Testi) Metodolojisi

Pentest (Sızma Testi) Metodolojisi
Pentest (Sızma Testi) Metodolojisi

Network Pentest (Ağ Sızma Testi) metodolojisini kavramsal olarak yukarıdaki şekilde olduğu gibi ifade edebiliriz. Ancak bu ifadenin kavramsal olduğu ve uygulamada bazen birden çok adımın (örneğin sunucu ve servis tespiti, zafiyet taraması gibi) tek bir adım veya araçla gerçekleştirilebileceği unutulmamalıdır. Buna ek olarak Pentest (Sızma Testi) süreci doğrusal ve geri dönülemez bir akış şeklinde ifade edilemez. Hatta son adımlarda görünen açıklığın test edilmesi (Exploit edilmesi) sonrasında ele geçirilen yeni bilgiler tekrar bilgi toplama adımına dönerek daha etkili sonuçlar elde etmeye imkan tanıyabilir. Bu nedenle proje süre sınırları da göz önünde bulundurularak belli bölümler yeni bilgiler ışığında tekrar edilebilecektir.

Network Pentest (Ağ Sızma Testi) adımlarını kısaca tanımlamak gerekirse:

  1. Kurum ve Kurum’a Ait İnternet Servisleri Hakkında Bilgi Toplama (Information Gathering): Genellikle internete açık sunucu ve servislerin tespiti için uygulanan bu adım yerel ağda da sunucu tespiti için uygulanabilir. Ek olarak bu adımda e-posta ve kullanıcı hesap adları çeşitli kaynaklardan toplanabilir.
  2. Sunucu ve Servis Tarama (Host and Service Scanning): Sistemlere temas edilen ilk adım olan bu adımda canlı sunucular ve üzerlerindeki servisler çeşitli tarama yöntemleri ile tespit edilir.
  3. Ağ Haritasının Çıkarılması (Network Mapping): Bazen test öncesinde test ekibine sağlanan bu bilgi diğer durumlarda yapılan taramalar sonucunda netleştirilmeye çalışılır. Ağ haritası saldırı senaryolarının geliştirilmesinde ve nerelere odaklanması gerektiği hakkında test ekibine yardımcı olabilir.
  4. İşletim Sistemi Tespiti (OS Fingerprinting): Farklı işletim sistemlerinin farklı servis türleri bulunduğundan işletimi sistemi tespiti önemli bir adımdır. Ancak pek çok durumda kolaylıkla gerçekleştirilebilir. Bu bilgi ayrıca açıklık tespiti aşamasında da yardımcı olabilmektedir.
  5. Ağ Servisleri ve Sistem Kullanıcı Tespiti (Service and User Enumeration): Bilinen açıklıklar belirli servisler ve bu servislerin belirli versiyonları için geçerli olduğundan hedef sistemler üzerindeki servisler ve versiyonlarının tespiti gerekmektedir. Ayrıca pek çok sistem öntanımlı kullanıcılarla geldiğinden bu kullanıcı hesaplarının da tespit edilmesinde fayda vardır. Bazen öntanımlı olmayan kullanıcı hesaplarının da uzaktan tespiti mümkün olabilmektedir.
  6. Kullanıcı Parola Tespit Saldırılarının Gerçekleştirilmesi (Password Cracking): Öntanımlı kullanıcı hesapları için öntanımlı parolalar test edilmelidir. Diğerleri için test süre sınırları içinde kurumun parola politikası da dikkate alınmak suretiyle sözlük saldırıları (Dictionary Attack) gerçekleştirilebilir.
  7. Tespit Edilen Servis Versiyonlarına Yönelik Açıklık Tespiti ve Açıklığın Test Edilmesi (Vulnerability Enumeration and Exploitation): Tespit edilmiş olan servisler ve versiyonları için bilinen açıklıklar araştırılır. Bu açıklıklar için yayınlanmış olan saldırı yöntemleri ve istismar (Exploit) kodları denenir. Tabi bu aşama belli bir riski içerdiğinden Pentest (Sızma Testi) angajman risk yönetim kurallarına uygun hareket edilmesi gerekmektedir.
  8. Genel Ağ Güvenliği Değerlendirmesi: Pentest (Sızma Testi) sırasında hedef ağ hakkında çok değerli bir bakış açısı kazanılır. Ağ bölümlemesi, dışarı yönlü filtreleme, host based firewall kurallarının kullanımı, kriptolama kullanımı, v.d. pek çok faktör Pentest (Sızma Testi) uzmanının işini kolaylaştırır veya zorlaştırır. Bu perspektifin Pentest (Sızma Testi) raporuna yansıtılması altyapı mimari ve BT süreçlerinin önem ve etkilerini de somutlaştıracağından kuruma yüksek fayda sağlar.

Web Application Pentest (Web Uygulama Sızma Testi) Metodolojisi

Web Uygulama Sızma Testi Metodolojisi
Web Uygulama Sızma Testi Metodolojisi

Web Application Pentest’leri (Web Uygulama Sızma Testleri) yapılırken teknik zafiyetlerin yanı sıra uygulamanın verdiği hizmet ve bu hizmetin suistimal edilmesinin sonuçları da çok önemli olmaktadır. Bu nedenle Web Application Pentest (Web Uygulama Sızma Testi) uzmanı özellikle bilgi toplama adımında uygulamanın kullanıldığı iş sürecini de iyi anlamalıdır. Tıpkı Ağ Sızma Testi’nde olduğu gibi Web Uygulama Sızma Testi’nde de yukarıdaki şemada tanımlanmış olan adımlar elde edilen bilgilere bağlı olarak tekrar uygulanabilir.

Web Application Pentest (Web Uygulama Sızma Testi) adımlarını kısaca tanımlamak gerekirse:

Web Application Pentest (Web Uygulama Sızma Testi) adımlarını kısaca tanımlamak gerekirse:

  1. Uygulama İçeriğinin Haritalanması (Application Mapping): Web Application Pentest’in (Web Uygulama Sızma Testi’nin) belki de en önemli aşaması olan bu aşamada uygulamanın linklenmiş ve linklenmemiş tüm kaynaklarının tespiti hedeflenir.
  2. Uygulama Fonksiyonalite ve Teknoloji Analizi: Uygulamanın suistimali için saldırı senaryolarının geliştirilebilmesi ve teknik sızma testi test türlerinin de planlanabilmesi için uygulamanın sunduğu hizmetler, kullanılan teknoloji ve girdi noktaları bu adımda analiz edilir.
  3. İstemci Tarafı (Client Side) Kontrollerinin Testi: Uygulama geliştiricilerin kullanıcıların sunucu tarafı servislerine doğrudan ulaşamayacağı varsayımı ile sadece istemci tarafında uygulamış olabileceği kontroller sunucu servislerinde de test edilir.
  4. Kullanıcı Tanılama (Authentication) Testleri: Uygulamanın kullanıcı tanılama mekanizması, kullanıcı yönetim, parola politikası ve diğer altyapı özellikleri analiz edildikten sonra bu kontrollerdeki teknik ve mantıksal zafiyetler test edilir.
  5. Oturum Yönetimi (Session Management) Testleri: Web ve genel olarak tüm HTTP uygulamaları için hassas bir nokta olan oturum yönetim mekanizması, oturum zaman aşım süreleri değerlendirilerek olası saldırı senaryoları test edilir.
  6. Erişim Kontrol (Access Control) Testleri: Farklı kullanıcı profilleri ile haritalanan uygulama kaynaklarına yönelik olarak dikey erişim kontrol yetersizlikleri (yani düşük yetkili kullanıcıların erişmemesi gereken yüksek yetkili kullanıcı fonksiyonalitelerine erişme imkanları) ve yatay erişim kontrol yetersizlikleri (yani kullanıcıların birbirlerinin verilerine erişme imkanları) test edilir.
  7. Tüm Parametrelerin “Fuzz” Edilmesi: Uygulamanın tespit edilmiş olan tüm girdi noktaları çeşitli injection payload’ları ile “fuzz” edilir, uygulamanın ürettiği yanıtlar izlenir ve olası injection açıklıkları ve diğer web uygulama açıklık türlerine yönelik olarak detaylı inceleme yapılır.
  8. Fonksiyonaliteye Özgü Saldırı Testleri: Uygulamanın işlevi veya kullanıcı dostu olabilmek için kullanıcılara sağladığı imkanlar kötüye kulanım (abuse case) testlerine tabi tutulur.
  9. Mantık Hatalarının (Logic Errors) Testi: Gerek uygulamanın hizmet verdiği iş süreci gerekse uyguladığı erişim ve oturum kontrollerinde uygulama geliştiricilerin yapmış olduğu hatalı varsayımlar araştırılır ve istismar (exploit) edilmeye çalışılır.
  10. Web Sunucusunun Testi: Uygulamanın güvenliği üzerinde çalıştığı sunucunun güvenliğine bağlıdır. Bu nedenle sunucu katmanındaki zafiyetler de test edilir.
  11. Diğer Testler: Yukarıda bahsedilmeyen ancak HTTP uygulamalarına has (SSL protokolü, cookie güvenliği gibi) diğer kontrol alanları da gözden geçirilir.

PENTEST’İN (SIZMA TESTİ’NİN) SİBER GÜVENLİK YÖNETİMİNDEKİ YERİ

Pentest (Sızma Testi) ve Risk Analizi

Siber güvenlik yönetimi için yapılan risk analizleri gerek sistem ve siber güvenlik altyapı bileşenlerini gerekse siber güvenlik ve bilgi teknolojileri süreç kontrollerine yönelik olarak yapılır. Pentest (Sızma Testi) çalışmaları her iki alanla ilgili de doğrudan veya dolaylı olarak risk analizine değerli katkıda bulunabilirler.

Pentest (Sızma Testi) ve Siber Güvenlik Süreç Kontrolleri

Pentest’in (Sızma Testi’nin) içinde doğrudan yer aldığı siber güvenlik ve bilgi teknolojileri süreci güvenli uygulama ve sistem geliştirme sürecidir. Pentest’in (Sızma Testi’nin) ilişkili olduğu bir başka bilgi teknolojileri süreci de değişiklik yönetimidir. Bu nedenlerle Pentest (Sızma Testi) faaliyetleri bilgi teknolojileri proje yönetim süreci içinde yer almalıdır.

Ancak yeni sistem ve uygulama zafiyetleri sürekli olarak ortaya çıkmaya devam ettiklerinden Pentest’in (Sızma Testi’nin) özellikle kritik ağ bölümleri, sistemler ve uygulamalar için daha önce yapılmış olsa bile tekrar edilmesinde fayda bulunmaktadır.

Pentest (Sızma Testi) ve Denetim

Pentest (Sızma Testi) tek başına siber güvenlik denetimlerinin yerini tutamaz. Ancak siber güvenlik denetimleri sırasında Pentest (Sızma Testi) çalışma sonuçlarından faydalanılabilir. Denetim planı içinde bir Pentest (Sızma Testi) yer almasa bile gerek denetim planlaması sırasında gerekse ilgili sistemlere yönelik süreç ve güvenlik altyapı denetimleri sırasında daha önceden yapılmış Pentest (Sızma Testi) sonuçları önemli fayda sağlayacaktır.

Pentest’in (Sızma Testi’nin) Riskleri

Pentest (Sızma Testi) aktiviteleri potansiyel olarak sistemlerin sürekliliğini ve bazı durumlarda da veri bütünlüğünü olumsuz etkileyebilir. Bu riski tamamen bertaraf etmek mümkün değildir. Ancak riskin kontrol altında tutulabilmesi için istismar (exploit) denemeleri sistem yöneticileri ile koordine olarak yapılabilir, hassas sistemlere yönelik testler iş yükünün az olduğu zamanlarda gerçekleştirilebilir, Pentest (Sızma Testi) öncesinde kritik uygulamalar için veritabanı yedeği alınabilir.

Ek olarak istismar (exploit) denemesi yapılan sistemler için deneme sonrasında ilgili sistemlere yüklenen saldırı kodlarının temizlendiğinden emin olunmalıdır. Her ne kadar yönetim açısından sistemde ulaşılan son noktanın sistemin veya ağın tamamen ele geçirilmesi çok etkili ve bazen de hayranlık uyandırıcı olsa da aslında bu noktaya kadar ulaşılırken hedef sistemler üzerinde daha çok zararlı saldırı araçları bulaştırılmakta ve bozulma meydana gelebilmektedir. Eğer Pentest (Sızma Testi) yaptıran kurum veya ilgili sistem yöneticileri siber risklere hakim ve hangi tespitlerin sonuçlarının ne kadar kritik olabileceğini anlıyorsa bu noktaya kadar ilerlememek gereksiz sistem kirlenmesine engel olabilecektir.

PENTEST (SIZMA TESTİ) VE DİĞER TEST / DENETİM TÜRLERİ

Pentest (Sızma Testi) ve Bilgi Teknolojileri Denetimi (IT Audit)

Pentest (Sızma Testi) geleneksel bilgi teknolojileri testleri ve denetimleri arasında Bilgi Teknolojileri Denetimi ile birlikte uzun süredir yer almaktadır.

Bilgi Teknolojileri Denetimi BT hizmetleri ve destek süreçleri üzerinde uygulanması gereken kontrollerin varlığına ve doğru işletilmesine odaklanır. Eğer süreç kontrolleri sağlıklı işletilebilirse ağ, system ve uygulama katmanlarında zafiyetlerin ortaya çıkma ihtimali de az olacaktır.

Bununla birlikte Pentest’in (Sızma Testi’nin) değerli olmasının nedeni; Bilgi Teknolojileri Denetim’lerinde tespit edilememiş ve bilgi teknolojileri altyapısında mevcut olan zafiyetleri de ortaya çıkarabilmesidir. Bu durum da çok doğaldır, çünkü BT Denetimi teknik konfigürasyon denetimlerini içerebilse de temel odak noktası süreç kontrolleridir.

Anlaşılacağı gibi bu iki denetim veya test türü birbirinin alternatifi niteliğinde değildir. Tam tersine birbirlerini destekleyen ve her iki test türünün sonuçları bir arada ele alındığında daha tam ve değerli bir görüş ortaya koymaya imkanı doğmaktadır. Pentest (Sızma Testi) çalışmalarında tespit edilen zafiyetler ve sonuçları çok çarpıcı biçimde ortaya konabilmektedir, çünkü sistem ve verilere yetkisiz erişim imkanları somut olarak ifade edilebilmektedir. Ancak bu zafiyetlerin kök nedenleri BT denetiminde tespit edilen süreç kontrol yetersizlikleri olup bu tespitler Pentest (Sızma Testi) sonuçları ile desteklendiğinde kontrol yetersizliklerinin sonuçları çok daha etkili biçimde ifade edilebilmektedir.

Pentest (Sızma Testi) ve Güvenlik Konfigürasyon Denetimi (Security Configuration Audit)

Güvenlik konfigürasyon ayarlarının denetlenmesi bilgi teknolojileri denetimlerinin bir parçası olarak düşünülebilir. Ancak bilgi teknolojileri denetimlerinde hak ettiği düzeyde uygulanmasını beklemek gerçekçi olmayacaktır. Ayrıca BT denetimlerinin sıklığı güvenlik konfigürasyon denetimleri için yeterli değildir. Güvenlik standartlarını ciddiye alan kurumlar için güvenlik konfigürasyon ayarları çok daha sık gözden geçirilmelidir. Bu ihtiyaç da konfigürasyon denetimlerinin otomatikleştirilmesini zorunlu hale getirmektedir.

Pentest (Sızma Testi) ile Güvenlik Konfigürasyon Denetimi arasındaki ana farklardan bir tanesi Güvenlik Konfigürasyon Denetimlerini veya Testlerini yapabilmek için mutlaka yetkili erişim haklarına sahip olma ihtiyacı bulunmasıdır. Pentest (Sızma Testi) sürecinde de personel profilini simüle etmek için yetkili bir kullanıcı erişim bilgileri kullanılabilir, ancak bu Pentest yaklaşımlarından sadece bir tanesidir. Ayrıca her iki test türünde de yetkili kullanıcı erişim bilgileri kullanılsa da konfigürasyon denetiminde kullanılması gereken yetkili kullanıcının genellikle sistem yöneticisi olması gerekecektir. Pentest’in (Sızma Testi’nin) bir sistem yönetici erişim bilgileri ile yapılması ise anlamsız olacaktır.

Test bulgularının tamlığı açısından ise Güvenlik Konfigürasyon Denetimi’nin Pentest’e (Sızma Testi’ne) nazaran avantajı bulunabilir. Çünkü bu denetim türünde Pentest (Sızma Testi) sırasında kullanılan erişim profili ile gözlenmesi mümkün olmayacak tek başına ciddi sonuçları olmasa da farklı koşullarda önemli olabilecek detaylı tespitlerin yapılması muhtemeldir.

Pentest (Sızma Testi) ve Kırmızı Takım (Red Team) Testleri

Pentest (Sızma Testi) angajman kuralları Red Team testlerine nazaran şu açılardan farklıdır:

  • Pentest (Sızma Testi) çalışmalarının kapsamı (hedeflenen sistem ve uygulamalar bazında) genellikle belirli ve sınırlıdır. Red Team çalışmalarında kapsam açısından genellikle belli bir kısıtlama bulunmaz.
  • Pentest (Sızma Testi) çalışmalarında kullanılan metotlar genellikle teknik niteliklidir. Buna karşın Red Team çalışmaları yoğunlukla sosyal mühendislik taktiklerini ve fiziksel olarak yetkisiz veri ve sistem erişimi yöntemlerini içerir.

Pentest (Sızma Testi) ve Red Team çalışmaları arasındaki bu farkların kök nedeni her iki test türünün hedeflerinin farklı olmasıdır. Red Team çalışmaları gerçek hayat saldırı simülasyonu yapmak için kullanılmaktadır. Gerçek saldırganlar Red Team çalışmalarında da olduğu gibi sosyal mühendislik ve fiziksel erişim ihlallerini yoğunlukla kullanırlar, çünkü bu yolla hedef sistem ve uygulamalara ilk adımlarını atmaları çok daha kolay olmaktadır.

Pentest’in (Sızma Testi’nin) bazen doğru anlaşılmaması ve yanlış bir güvenlik algısı doğurması nedeniyle Red Team senaryolarının da Pentest çalışmalarına dahil edilmesine sıklıkla rastlanabilmektedir. Bu şekilde genel bir altyapı güvenlik güvencesi alınırken kurum altyapısının gerçekçi saldırılara karşı ne kadar dayanıklı ve bu saldırıları tespit etme kabiliyetinin de ne düzeyde olduğu görülebilmektedir. Özetle son derece yaygın olan Advanced Persistent Threat (APT) saldırılarına karşı kurumun güvenlik seviyesini tespit etmek için Red Team çalışmaları daha gerçekçi sonuçlar üretebilmektedir.

Pentest (Sızma Testi) ve Mavi Takım (Blue Team) Süreçleri

Pentest (Sızma Testi) ekipleri ofansif tarafı temsil ederken Blue Team personeli ise kurumun siber savunma ekiplerinden oluşmaktadır. Pentest (Sızma Testi) veya Red Team çalışmaları Blue Team ekipleri için çok önemli ve faydalı öğrenme fırsatlarıdır. Kurumlar Pentest (Sızma Testi) ve Red Team çalışmalarının bu özelliğini Blue Team ekiplerinin de gözlem ve öğrenme amacıyla testlere katılımları ile savunma güçlerini artırmak için kullanabilirler. Belli bir seviyeyi geçtikten sonra ise ofansif test ekipleri ile Blue Team uzmanları eş zamanlı olarak tatbikat gerçekleştirip gerçek saldırılara karşı antrenman yapabilirler.

Blue Team uzmanları açısından Pentest (Sızma Testi) metod ve araçlarının tanınması çok büyük avantaj sağlayacaktır.

Pentest (Sızma Testi) ve Zafiyet Tarama (Vulnerability Scanning) Testleri

Pentest (Sızma Testi) ve Zafiyet Tarama (Vulnerability Scanning) arasındaki farktan önce benzerliğe değinmek gerekir. Pentest’in (Sızma Testi’nin) ilk adımları ile Zafiyet Tarama (Vulnerability Scanning) çalışması büyük oranda aynıdır. Farklılaşma bu adımlarla toplanan bilgilerin Pentest Uzmanı tarafından sonraki adımlarda daha esnek ve daha etkili kullanılmasıyla başlamaktadır.

Zafiyet Tarama (Vulnerability Scanning) doğası itibarıyla otomatik bir süreçtir. Bu nedenle hız ve düşük maliyet avantajlarına sahiptir. Ancak gerçek saldırılar genellikle birden fazla adım ve birden fazla bilginin bir arada kullanılması ile gerçekleştirilir. Bu nedenle Zafiyet Tarama’nın (Vulnerability Scanning’in) sağladığı güvence Pentest’e (Sızma Testi’ne) nazaran daha sınırlı kalmaktadır.

Bununla birlikte Zafiyet Tarama (Vulnerability Scanning) çalışmaları Pentest (Sızma Testi) çalışmalarına nazaran daha sık yapılabileceği için bariz açıklıkların daha hızlı tespitine imkan tanıyabilirler.

Pentest (Sızma Testi) ve Kaynak Kod Gözden Geçirme (Source Code Review) Çalışmaları

Pentest (Sızma Testi) ve Kaynak Kod Gözden Geçirme (Source Code Review) çalışmaları uygulama sızma testleri açısından karşılaştırılabilir, çünkü kaynak kodu açık olmayan veya ulaşılamayan sistem ve servislere yönelik gerçekleştirilen Pentest (Sızma Testi) çalışmalarında zaten Source Code Review çalışma imkanı bulunmamaktadır.

Kaynak Kod Gözden Geçirme (Source Code Review) çalışmaları uygulamanın kaynak kodları üzerinde Statik Analiz (Static Analysis) olarak adlandırılan bir çalışmadır. Uygulama ile bir etkileşim haline girilmeden, uygulamanın girdi aldığı Kaynak (Source) noktalarından, bu girdinin ulaştığı nihai hedefe (Sink) kadar izlediği yol incelenerek uygulamanın injection saldırılarına karşı dayanıklılığı analiz edilir. Bunun dışında uygulama içine gömülü hassas veriler, kullanılan güvensiz kriptografik algoritmalar, Pentest (Sızma Testi) sırasında görülemeyecek güvensiz veri saklama yöntemleri ve diğer uygulama özellikleri bu çalışmalar sırasında analiz edilebilir.

Pentest (Sızma Testi) ise Dinamik Analiz (Dynamic Analysis) olarak adlandırılır ve uygulama ile etkileşim halinde gerçekleştirilir. Kaynak Kod Gözden Geçirme (Source Code Review) çalışmasının Pentest’e (Sızma Testi’ne) nazaran avantajı tüm kod bölümlerinin incelenebilmesidir. Pentest (Sızma Testi) sırasında ise bazı zafiyetler daha pratik ve hızlı biçimde ortaya çıkartılabilir. Maliyet açısından genellikle daha yüksek maliyete sahip olsa da Kaynak Kod Gözden Geçirme (Source Code Review) çalışmalarında da otomatik araçlar kullanılabilir. Uygulama güvenliği açısından en etkili yaklaşım dinamik ve statik analiz yöntemlerinin her ikisinin de bir arada kullanılması olacaktır. Yani güvenliğin pek çok alanında olduğu gibi bu kontrol imkanları da birbirinin alternatifi olmaktan ziyade birbirinin tamamlayıcısıdır.

Pentest (Sızma Testi) ve Açıklık Araştırmaları (Exploit Research)

Sistem (OS) ve sistem uygulamaları seviyesindeki Exploit Research çalışmaları genellikle uzun süreler alan ve araştırmacının hedeflenen servisi de binary debug ederek binlerce farklı girdi örneğine karşı davranışını incelemesini gerektiren çalışmalardır.

Pentest (Sızma Testi) çalışmalarında ise kapsam içine girebilecek sayısız servis türü için böyle bir çalışma yapmak mümkün değildir. Bu imkansızlık zaman kısıtının yanı sıra Exploit Research yapılan servisin binary debug edilebilmesi için de bir ortam ve erişim imkanı bulunmamasından da kaynaklanmaktadır. Dolayısıyla Pentest (Sızma Testi) çalışmalarında hedef sistem ve servisler üzerinde daha önceden tespit edilmiş olan açıklıklar aranır ve kullanılmaya çalışılır.

Yukarıda belirtilenler Web ve Mobil Uygulamaları için uygulama katmanında yapılan Pentest (Sızma Testi) çalışmaları açısından tam olarak geçerli değildir. Çünkü Web ve Mobil Uygulama Pentest (Sızma Testi) çalışmalarında hedef uygulama ile interaktif iletişim kurma imkanları daha fazla ve teknik olarak bilinen uygulama açıklık türlerinin test edilen özel (custom) Web ve Mobil Uygulamalar üzerinde tespit edilmesi mümkündür. Bu yüzden Web ve Mobil Uygulama Pentest (Sızma Testi) çalışmalarına Exploit Research dememiz belli oranda doğru olacaktır.

Pentest (Sızma Testi) ve Diğer Test Türleri (Sosyal Mühendislik, DDOS, Yük Testi)

Genellikle Pentest (Sızma Testi) projelerinin içinde bir başlık olarak yer alsalar da sosyal mühendislik, dağıtık hizmet kesinti saldırısı (DDOS) ve yük testi test türleri en başta ifade ettiğimiz Pentest (Sızma Testi) tanımına uymamaktadırlar.

Sosyal Mühendislik insan katmanını hedef alan, başta oltalama (phishing) mesajları ve telefon ile hedef kullanıcıların erişim bilgilerini çalma (Credential Theft) ve onlara bir saldırı kodunu indirtme / çalıştırtma hedefini güden bir saldırı yöntemidir. Sosyal Mühendislik testleri kullanıcıların farkındalık seviyesini test etmeyi ve hatta onları eğitmeyi hedeflerken kurumun e-posta ve uç nokta güvenlik önlemlerini de test etme imkanı verme açılarından Pentest (Sızma Testi) süreci ile de yakından ilişkilidir.

DDOS ve yük testleri benzer gibi görünse de yük testleri makul kullanıcı seviyelerinin testini hedeflerken DDOS testleri hedef sistemleri erişilemez hale getirecek seviyede yük bindirmeyi hedefler. DDOS yadsınamaz bir siber güvenlik tehdidi olmakla birlikte herhangi bir sistem veya veri ele geçirmeyi hedeflemez. Bununla birlikte bazı Pentest (Sızma Testi) projelerinde DDOS testleri de yer bulabilmektedir.

Sızma Testi (Pentest / Penetrasyon Testi) Hizmeti

Uygulamalı Sızma Testi (Pentest) Eğitimi