Menü Kapat

Penetrasyon (Sızma) Testi Nedir?

Penetrasyon (Sızma) Testi

Pen-test olarak da bilinen bir penetrasyon testi (sızma testi), bilgisayar sisteminize karşı sömürülebilir güvenlik açıklarını denetlemek için simüle edilmiş bir siber saldırıdır. Web uygulaması güvenliği bağlamında, penetrasyon testi yaygın olarak bir web uygulaması güvenlik duvarını (WAF) artırmak için kullanılır.

Penetrasyon testi, kod enjeksiyon saldırılarına duyarlı onaylanmamış girişler gibi güvenlik açıklarını ortaya çıkarmak için herhangi bir sayıda uygulama sisteminin (örn. Uygulama protokolü arabirimleri (API), ön uç / arka uç sunucuları) ihlal edilmesini içerebilir.

Penetrasyon testi tarafından sağlanan bilgiler, WAF güvenlik politikalarınıza ince ayar yapmak ve algılanan güvenlik açıklarını düzeltmek için kullanılabilir.

Penetrasyon Testinizi Yapalım!

Kendi paketinizi oluşturun ve hemen penetrasyon testinizi yapalım, üstelik güvenlik analizi ücretsiz.

Penetrasyon Testi Aşamaları

Penetrasyon test süreci beş aşamaya ayrılabilir.

Penetrasyon Testi Aşamaları
1. Planlama ve keşif

İlk aşama şunları içerir:

– Ele alınacak sistemler ve kullanılacak test yöntemleri de dahil olmak üzere bir testin kapsamını ve hedeflerini tanımlamak.
– Bir hedefin nasıl çalıştığını ve potansiyel güvenlik açıklarını daha iyi anlamak için istihbarat toplama (ör. Ağ ve etki alanı adları, posta sunucusu).

2. Tarama

Bir sonraki adım, hedef uygulamanın çeşitli saldırı girişimlerine nasıl tepki vereceğini anlamaktır. Bu genellikle aşağıdakiler kullanılarak yapılır:

– Statik analiz: Çalışırken davranış biçimini tahmin etmek için bir uygulamanın kodunu inceleme. Bu araçlar kodun tamamını tek bir geçişte tarayabilir.
– Dinamik analiz: Bir uygulamanın kodunu çalışır durumda inceleme. Bu, uygulamanın performansına gerçek zamanlı bir görünüm sağladığı için daha pratik bir tarama yöntemidir.

3. Erişim Elde Etme

Bu aşamada, bir hedefin güvenlik açıklarını ortaya çıkarmak için siteler arası komut dosyası oluşturma, SQL enjeksiyonu ve arka kapılar gibi web uygulaması saldırıları kullanılır. Test uzmanları bu aşamada zafiyetlerden ne ölçüde erişim elde edilebileceğini görür.

4. Erişimin Sürdürülmesi

Bu aşamanın amacı, güvenlik açığının istismar edilen sistemde kalıcı bir varlığa ulaşmak için kullanılıp kullanılamayacağını görmektir (kötü niyetli kişilerin derinlemesine erişmesi için yeterince uzun süre sistemde durup duramayacağı tespit edilir). Bir kuruluşun en hassas verilerini çalmak için genellikle aylarca sistemde kalan gelişmiş kalıcı tehditler mevcuttur.

5. Analiz

Sızma testinin sonuçları daha sonra aşağıdakileri detaylandıran bir raporda derlenir:

– Sömürülen belirli güvenlik açıkları
– Erişilen hassas veriler
– Penetrasyon testi cihazının sistemde tespit edilmeden kalma süresi

Bu bilgiler, güvenlik açıklarını düzeltmek ve gelecekteki saldırılara karşı korunmak için bir kuruluşun WAF ayarlarını ve diğer uygulama güvenliği çözümlerini yapılandırmaya yardımcı olmak üzere güvenlik uzmanlarımız tarafından analiz edilir.

Penetrasyon Testi Yöntemleri

Harici testler

Harici penetrasyon testleri, İnternet’te görünen bir şirketin varlıklarını, örneğin web uygulamasının kendisi, şirket web sitesi ve e-posta ve alan adı sunucularını (DNS) hedefler. Amaç, erişim sağlamak ve değerli verilere ulaşmaktır.

Dahili testler

Dahili bir testte, güvenlik duvarının arkasındaki bir uygulamaya erişimi olan bir test kullanıcısı, kötü niyetli bir kişinin saldırısını simüle eder. Bu, sahte bir çalışanı simüle etmek zorunda değildir. Yaygın bir başlangıç senaryosu, kimlik avı saldırısı nedeniyle kimlik bilgileri çalınan bir çalışan olabilir.

Sosyal mühendislik testi

Assess your staff and training-related security weaknesses with social engineering tests designed to guide your team to risk data.

Fiziksel sızma testi

Analyze vulnerabilities that will allow your buildings or data centers, a workstation, and then intruders entering your network.

Kablosuz sızma testi

Identify and use the vulnerabilities in your wireless environment using this comprehensive security test of your organization's wireless devices and protocols.

Karabela testi

We use simulated attacks on your systems and networks using a group of high-level penetration testers to gain a comprehensive perspective on real-life cyber intruders.

Your Penetration Testing Results

• Real world results of simulated cyber attacks in a safe and controlled environment.

• Special recommendations to strengthen your current system and change your security mentality.

• Detailed information and security training to your security team and other employees.

Penetrasyon (Sızma) Testi Nedir? 🔊👂 Penetrasyon (Sızma) Testi Pen-test olarak da bilinen bir penetrasyon testi (sızma testi), bilgisayar sisteminize karşı sömürülebilir güvenlik açıklarını denetlemek için…
Penetrasyon Testi 2020’de Neden Daha Önemli? 🔊👂 2020 yılı, sadece Türkiye için değil, tüm dünyada işletmeler için eşi görülmemiş bir yıl oldu. Büyük ve küçük…
Sızma testi raporuna neyin dahil olduğunu daha iyi anlayarak, güvenlik duruşunuzu iyileştirmek için temel çıkarımlarını uygulayabilirsiniz.
en_USEnglish
tr_TRTürkçe en_USEnglish