Penetrasyon Testi Nedir? Hangi Aşamalardan Oluşur?

penetrasyon testi
0
(0)

Sızma testi olarak da bilinen penetrasyon testi hakkında merak edilenleri öğrenmek ister misiniz? Öyleyse içeriğimizi okumaya devam edin!

Penetrasyon testi genellikle siber saldırganların sistemlere verebileceği hasarı önceden analiz etmek ve buna bağlı olarak çalışmalar yapmak anlamına gelmektedir. Penetrasyon testi sayesinde sisteme yapılması mümkün olan saldırılar önceden simüle edilerek sistemdeki zafiyetler kapatılmaktadır. Bunun sonucunda sistem güvenli artırılmaktadır. Sızma testi yapan kişi veya kişilere etik sızma testi uzmanları veya web pentester adı verilmektedir.

Bir hacker ne biliyorsa sızma testini yapacak olan kişi de onu bilmelidir. Yani bir etik sızma testi uzmanı hacker gibi düşünmeli, hareket etmeli ve onların kullandığı yöntemleri kullanarak sisteme giriş yapmaya çalışmalıdır. Bu çalışma sayesinde sisteme nasıl giriş yapılabileceği araştırılır. Eğer bir açık varsa sızma işlemi sırasında tespit edilir. Daha sonra bu açık gerekli güvenlik önlemleri ile kapatılır. Aslına bakılırsa sızma testi yapan kişi bir nevi “beyaz şapkalı hacker” rolünü üstlenmektedir. Beyaz şapkalı hackerlar da sistemlere saldırı düzenler fakat bu saldırıları sonucunda insanlara veya sistemlere zarar vermek yerine bu açığı bildirmeyi tercih ederler. Tüm bu konular hakkında detaylı bilgi almak için siber güvenlik blogumuzda gezinebilirsiniz.

Penetrasyon Testi Yaparken Kullanılan Yazılımlar

Sızma testinde kullanılan araçlar aynı zamanda hackerların kullandığı yazılımlar anlamına gelmektedir. Yani bu yazılımlar siber saldırı yapılırken kullanılan araçlardır. Tabii ki bu yazılımları her anlamda kullanmayı bilen, profesyonel ve uzmanlaşmış kişiler siber saldırıyı başarılı bir şekilde gerçekleştirebilir. Şimdi dilerseniz penetrasyon testi yaparken kullanılan yazılımlar hangileriymiş bir göz atalım:

  1. Metasploit: En sık kullanılan penetrasyon araçlarından birisidir. Bu araç sayesinde oldukça geniş çaplı bir saldırı düzenlemek mümkündür. Oldukça zengin bir veri tabanı vardır ve bu veri tabanı yazılımda gömülü olarak bulunmaktadır. Yapılan test sonucunda kullanıcısına detaylı bir şekilde rapor sunmasıyla da farklı bir konuma yükselmektedir.
  2. Nmap: Siber güvenlik konularına ilgisi olan bir kişinin Nmap yazılımını duymama ihtimali yoktur. Nmap yazılımı test yapılırken ağda bulunan kişilerin kimler olduğunu, hangi hizmetlerin verildiğini ve hangi portların açık olduğunu gösteren bir araçtır. Tabii ki yapabildikleri bunlarla sınırlı değildir fakat genellikle bu amaçlar doğrultusunda kullanılmaktadır. Saldırı düzenlenecek ağın ne durumda olduğunu öğrenmek için kullanılan bir ağ tarama yazılımıdır.
  3. Burp Suite: Sızma testi uzmanları tarafından kullanılan ve penetrasyon testlerinin olmazsa olmazlarından biridir. Kali Linux işletim sistemine gömülü olarak gelmektedir. Fakat dileyen kişiler Windows işletim sisteminde de kullanabilir. Bu yazılımla birlikte genellikle kaba kuvvet saldırıları yapılsa da internet sitelerinin trafiğini analiz ederek otomatik saldırılar yapmak için de kullanılır. Sahip olduğu Proxy özelliği sayesinde internette oluşan trafiği yönlendirme imkânı da tanımaktadır. Kullanmayı bilen bir kişi başarılı bir şekilde siber saldırı yapmaya bir adım daha yaklaşmaktadır.

Sızma testi için kullanılabilecek araçlardan bazıları yukarıdaki gibidir. Tabii ki yalnızca üç araç kullanılmamaktadır. Bu araçlar dışında OpenVAS, Wireshark gibi araçlarda kullanılmaktadır. Fakat sizlere daha fazla bilgi verebilmek adına bu kısmı biraz kısa tutma taraftarıyız. Şimdi dilerseniz en çok merak edilen soruya geçiş yapabiliriz: Penetrasyon Testi Aşamaları.

Penetrasyon Testi Aşamaları Nelerdir?

Bir siber saldırı simüle etmek sanıldığı kadar kolay bir şey değildir. Bir hacker gibi düşünmek, onun gibi hareket etmek ve onun gibi saldırmak gerekmektedir. Bunu yalnızca alanında uzman kişiler ‘gerçek anlamda’ yapar. Basit bir Lamer sızma testi gibi ciddi bir işin altından kalkamaz. Yani her alanda olduğu gibi sızma testi yapacak olan kişinin de alanında uzman olması gerekmektedir. Dilerseniz aşağıdaki başlıklara göz atarak olması gerektiği gibi sızma testinin nasıl yapıldığını öğrenebilirsiniz.

1.      Penetrasyon Testi Planlama

Bu aşamada sızma testi uzmanı saldırı yapacağı sistemin açıklarının neler olabileceğini düşünür. Bazı verileri toplar ve saldırının temel çerçevesini kafasında şekillendirir.

2.      Tarama

İkinci başlıkta sizlerle paylaştığımız araçlar kullanılarak sistemde tarama yapılmaktadır. Bu tarama sonucunda varsa bazı açıklar ortaya çıkar. Siber güvenlik uzmanı veya sızma testi uzmanı bu aşamada açıkları tespit eder.

3.      Taslak Erişim

Asıl erişimden önce sızma testini yapacak olan kişi sistemin ne kadar erişilebilir olduğunu simüle eder. Bu aşamada testi yapan kişi sistemde nereye kadar gidilebileceğini ortaya çıkarmaya çalışır.

4.      Saldırı

Bu aşama bazı kaynaklarda kalıcı erişim olarak da adlandırılmaktadır. Fakat bu net olarak bir saldırıdır. Sonuçta sızma testi yapan kişi sisteme erişirken hackerların kullandığı saldırı yöntemleri ile saldırmaktadır. Bu aşama en önemli aşamalardan birisidir çünkü testi yapan kişi çıkaracağı raporu burada oluşturmalıdır. Sistemde ne kadar süre kalınabiliyor, hangi verilere erişilebiliyor, temel riskler neler, hangi araç ile sisteme girildi? Gibi soruların tamamı bu aşamada yanıtlanmaktadır.

5.      Penetrasyon Testi Raporlama

Son aşamada yapılan işlemlerin tamamı raporlanmaktadır. Raporlar, ilerleyen zamanda yapılacak olan çalışmalar için kilit rol oynamaktadır. Bu raporlar olmadan sistemde keşfedilen açıkların eksiksiz ve kalıcı bir şekilde kapatılması mümkün değildir.

Penetrasyon testi kuruluşunuzun güvenliği için olmazsa olmazlardandır. Bu konu hakkında siber güvenlik blogu içinde birbirinden farklı birçok yazı bulunmaktadır. Bu yazıları inceleyerek daha fazla bilgi sahibi olabilirsiniz. Aynı zamanda sızma testinin önemini daha rahat bir şekilde kavrayabilirsiniz. Bunun için yazıdaki linkleri kullanabilirsiniz.

Bu yazıyı beğendin mi?

Oylamak için yıldıza dokunun!

Ortalama Puan 0 / 5. Oylama puanı: 0

Daha oylayan olmadı, ilk oylamak ister misin?

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Author Profile

bay3harfli

Tags: pentest sızma testiSızma Testi AşamalarıSızma Testi ProgramlarıSızma Testi TeknikleriSızma Testi Uzmanı

You may also like...

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir