Web Pentester: Siber Korsanlardan Korunun!

İşletmeniz için bir websitesi oluşturduğunuzda internet dünyasında hemen açık hedef haline gelirsiniz. Özellikle sitenizde satış yapıyor ya da kullanıcıların kayıt olmasını sağlıyorsanız güvenlik önlemlerini iki katına çıkarmanız gerekmektedir. Bunu yapabilmek için sitenize SSL sertifikası almak yeterli olmayabilir. Bu sebeple Web pentester konusunu sizler için detaylı şekilde ele alacağız!

İçindekiler Tablosu

Web Pentester Nedir?

Pentest en basit haliyle sitenize yapılabilecek olan olası saldırıları öngörmenizi sağlayan bir testtir. Bu testler farklı yöntemler kullanılarak uzmanlar tarafından yapılır ve raporlanır. Web Pentester ise bu testleri yapan kişidir. Konu hakkında uzmanlığı bulunur ve aynı bir korsan gibi hareket ederek üçüncü gözle sitenize bakar.

Bir hacker gibi düşünerek sitenize saldırılar düzenler. Bu saldırılara sitenizin verdiği tepkileri ölçer, problemleri tespit eder ve çözüm önerileri sunar. Bunları yapabilmek için programlama bilgisi bilmelidir. Bu sebeple seçeceğiniz web pentester önemlidir. Ancak konu hakkında uzman birini seçerek doğru sonuçlara ulaşabilirsiniz.

Web Pentest Neden Gereklidir?

Web pentester nedir? Sorusunu cevapladık. Peki, neden bir pentest testine ihtiyacınız var? Web sitenizin pentest testine ihtiyacı var mı? Kimler bu testi yaptırmalı? En temelde her web sitesi bu testlere ihtiyaç duyar çünkü internet ortamında var olan her internet sitesi tehdit altındadır. Bugüne kadar bir saldırıya uğramamış olmanız daha sonra sitenize saldırılmayacağı anlamına gelmez.

Aşağıda Pentest testinin neden gerekli olduğunu liste halinde sizlerle paylaştık;

Sitenizde yer alan bilgilerin çalınmasını önler.
Sitenizi kullanan kullanıcıların bilgilerini güvence altına alır.
Problemlerin önceden tespit edilmesini sağlar.
Saldırıların ne derece zararlı olabileceğini tespit eder.
Yasal zorunluluklara uygunluk için gereklidir.
Sitenizin güvenlik durumunu rapor eder.

Bir web pentester sitenizin ne tür testlere ihtiyaç duyduğunu analiz ederek bu testleri uygular. Size sunduğu raporda ise problemlerin çözümü de yer alır. Böylece önceden önlem alarak maksimum güvenlik seviyesine ulaşabilirsiniz.

Web Pentester Ne Yapar?

Testlerin tam olarak ne olduğunu anlamak için süreci analiz etmek gerekmektedir. Anlaştığınız uzman 5 aşamada sitenizi inceler. Yapılacak testlere ise ilk aşamada karar verir. Unutmayın ki her site eşsizdir ve yapılacaklar değişkenlik gösterebilir. Yine de 5 temel adımın uygulandığından emin olmalısınız.

Öncelikle siteniz için bir keşif çalışması yapılır. Sitenizin altyapısı detaylı bir analize tabi tutulur.
Keşif aşaması bittikten sonra tarama aşamasına geçilir. Bu aşamada ise toplanan bilgiler kullanılmaya başlanır.
Web pentester sitenizin normal şartlarda kapalı olması gereken bölümlerine erişim sağlamaya çalışır. Farklı saldırılar düzenler ve bu saldırıların ne kadar başarılı olduğuna bakar.
Hacker gibi davranan pentester dördüncü aşamada ise sitenizde kalmaya çalışır. Kullanıcı bilgileri gibi daha derin ve tehlikeli bilgileri elde etmeyi dener.
Son aşama raporlama aşamasıdır. Elde edilen tüm bilgiler rapor haline getirilir ve site sahibine sunulur.

Gördüğünüz üzere bu testler detaylı bir çalışma gerektirir. Sitenizde düzenli olarak değişiklik yapıyorsanız düzenli olarak bu testleri yaptırmanızda önemlidir. Yapılan her değişiklik yeni bir tehdit oluşturabilir.

Pentest Testleri Nasıl Yapılır?

Testlerin nasıl yapıldığı hakkındaki detaylı bilgiye yalnızca uzmanlar sahiptir ve bunu detaylı açıklamak oldukça zordur. Ancak kabul edilen üç farklı test vardır ve her biri farklı amaçlarla uygulanır. Bu testler sırasıyla; WhiteBox, GreyBox ve BlackBox.

Black Box adından da anlayabileceğiniz üzere tam bir kapalı kutu testidir ve uzmanın hiçbir ön bilgiye sahip olmadığını gösterir. Kötü niyetli bir korsan gibi davranılır ve siteye saldırılar düzenlenir.
Grey Box ise uzmanın kısmen bilgi sahibi olduğu bir test türüdür. Hali hazırda sitenize erişimi olan kişilerden gelebilecek saldırıları tespit etmeyi amaçlar.
White Box ise internet sitenizi baştan sona denetler. Bu test içerisinde olabilecek tüm saldırılar simüle edilir. Özellikle hiç test yapılmamış internet siteleri için önerilmektedir çünkü sunulan rapor oldukça detaylıdır.

Bu testlerin amaçları genel anlamda bellidir ancak testler uygulanırken yapılan çalışmaları öğrenmek için uzmana sorular sormalısınız. Test içerisinde simüle edilen saldırılar uzmanlar tarafından belirlenir ve değişiklik gösterebilir. Web pentester seçimi yaparken eğitimlerini, tecrübesini, bilgisini ve test kapsamlarını sorarak fikir sahibi olabilirsiniz.

Sızma (Pentest) Testinden Sonra Ne Yapılmalı?

Testlerin sonucunda internet siteniz hakkında detaylı bir rapor elde edeceğinizi söylemiştik. Bu rapor sitenizin güvenlik problemlerini size sunacaktır. Bu güvenlik problemlerini çözmeye yönelik adımlar atmadığınız takdirde test amacına ulaşmamış olur.

Gerekli önlemleri almalı ve sitenizin zayıf olduğu noktaları güçlendirmelisiniz. Bu doğrultuda çalışmalar yaptıktan sonra testi tekrarlamanızı ve çalışmalarınızın ne kadar faydalı olduğunu görmenizi öneriyoruz. Böylece attığınız adımların doğruluğunu tespit edebilirsiniz.

Sitenizde bir değişiklik yapmadığınız sürece testleri tekrarlamanıza gerek yoktur. Ancak güvenlik yaması güncellemesi gibi önemli değişikliklerde testi tekrarlamalısınız. Aksi takdirde güvenli olduğunu zannettiğiniz siteniz saldırılara maruz kalır ve iş süreçleriniz olumsuz etkilenir. Güven veren bir internet sitesi, şirket, kuruluş ya da yazılım olabilmenin en iyi yollarından biri bu testler ve sonuçlarıdır.

Sızma testleriyle ilgili detaylı blog yazımıza bu linkten ulaşabilirsiniz.

Author Profile

alikaanbashan: Merhaba, ben Ali Kaan BAŞHAN; Siber güvenlik adına keyifli bir hobi olarak başladığım bu uğraşımı, zaman içinde ilerleterek internet sitelerine web pentest hizmeti olarak sunmaya başladım. Ardından siber güvenlik adına bir blog açmaya karar verip, bu blogu açtım. İmza: Web Pentester Ali Kaan BAŞHAN