Hoş geldin

Tüm özelliklerimize erişmek için şimdi bize katılın. Kayıt olduktan ve giriş yaptıktan sonra, konular oluşturabilir, mevcut mesajlara cevap yazabilir, diğer üyelerinize itibar edebilir, kendi özel mesajınızı alabilir ve çok daha fazlasını yapabilirsiniz. Ayrıca hızlı ve tamamen ücretsiz, bu yüzden ne bekliyorsunuz?

Penetrasyon Testi Nedir & Adımları ve Yöntemleri

Teorina

Asteğmen
Katılım
17 Ağu 2018
Mesajlar
50
Beğeniler
39
#1
Herkese merhaba dostlar. Bu konumuz da sizlere Penetrasyon, yani sızma testinin ne olduğunu, aşamalarını ve yöntemlerini anlatacağım. Başlayalım :)



• PENETRASYON TESTİ NEDİR?



~ Açıklanabilir güvenlik açıklarını kontrol etmek için bilgisayar sisteminize benzeyen bir siber saldırıdır. Bir web uygulaması güvenlik duvarını (WAF) artırmak için penetrasyon testi yaygın olarak kullanılır.

Sızma testi, kod enjeksiyon saldırılarına duyarlı olmayan girişler gibi güvenlik açıklarını açığa çıkarmak için, herhangi bir sayıda uygulama sisteminin (örneğin, uygulama protokolü ara yüzleri (API), ön uç/arka uç sunucuları) ihlal edilmesini içerebilir.

Penetrasyon testi tarafından sağlanan içgörüler, WAF güvenlik politikalarınıza ince ayar yapmak ve tespit edilen güvenlik açıklarını düzeltmek için kullanılabilir.




• SIZMA TESTİ ADIMLARI



- Planla ve Keşfet

İlk aşama şunları içerir:

+Bir testin kapsamını ve hedeflerini, ele alınacak sistemleri ve kullanılacak test yöntemlerini de içerecek şekilde tanımlamak.
+Bir hedefin nasıl çalıştığını ve olası güvenlik açıklarını daha iyi anlamak için istihbarat toplamak (ör. Ağ ve etki alanı adları, posta sunucusu).



- Tara

Bir sonraki adım, hedef uygulamanın çeşitli saldırı girişimlerine nasıl cevap vereceğini anlamaktır. Bu genellikle kullanılarak yapılır:

Statik analiz = Bir uygulamanın kodunu çalışırken davranış şeklini tahmin etmek için incelemek. Bu araçlar, kodun tamamını tek bir geçişte tarayabilir.
Dinamik analiz = Bir uygulamanın kodunu çalışma durumunda denetleme. Bu, uygulamanın performansına gerçek zamanlı bir görünüm sağladığı için, daha pratik bir tarama yöntemidir.



- Erişim Kazan

Bu aşamada, bir hedefin güvenlik açıklarını açığa çıkarmak için siteler arası komut dosyası oluşturma , SQL enjeksiyonu ve arka kapılar gibi web uygulaması saldırıları kullanılır. Test ediciler daha sonra bu güvenlik açıklarını, tipik olarak ayrıcalıkları yükseltmek, veri çalmak, trafiği engellemek vb. Yol açabilecekleri zararları anlamak için kullanırlar.


- Erişimini Koru

Bu aşamanın amacı, güvenlik açığının sömürülen sistemde kalıcı bir varlığa ulaşmak için kullanılıp kullanılamayacağını anlamaktır. Buradaki fikir, bir örgütün en hassas verilerini çalmak için genellikle aylardır bir sistemde kalan gelişmiş kalıcı tehditleri taklit etmektir.


- Analiz Et

Penetrasyon testinin sonuçları daha sonra ayrıntılı bir rapor halinde derlenmiştir:

+İstisna edilen belirli güvenlik açıkları
+Erişilen hassas veriler
+Sızmatest cihazının sistemde kaldığı süre miktarı tespit edilmedi.

Bu bilgi, güvenlik açıkları tarafından bir kuruluşun WAF ayarlarını ve diğer uygulama güvenlik çözümlerini yama zayıflıklarına yapılandırmaya ve gelecekteki saldırılara karşı korumaya yardımcı olacak şekilde analiz edilir.




• SIZMA TESTİ YÖNTEMLERİ



- Dahili Test

Dahili bir testte, güvenlik duvarının arkasında ki bir uygulamaya erişim sağlayan bir test cihazı, kötü niyetli bir içeriğin saldırmasını simüle eder.


- Dış Test

Harici penetrasyon testleri, internette görünen bir şirketin varlıklarını, örneğin web uygulamasının kendisini, şirket web sitesini, e-posta ve alan adı sunucularını (DNS) hedefler. Amaç erişim kazanmak ve değerli verileri ayıklamaktır.


- Kör Test

Kör bir testte, bir test cihazına yalnızca hedeflenen işletmenin adı verilir. Bu, güvenlik personeline gerçek bir uygulama saldırısının nasıl gerçekleşeceğine dair gerçek zamanlı bir bakış sağlar.


- Çift Kör Test

Bir çift kör testte, güvenlik personelinin simüle edilmiş saldırı hakkında önceden bilgisi yoktur. Gerçek dünyada olduğu gibi, teşebbüs ihlalinden önce savunmak için zamanları olmayacaktır.


- Hedeflenen Test

Bu senaryoda, hem test kullanıcısı hem de güvenlik personeli birlikte çalışır ve birbirlerini hareketlerinden dolayı değerlendirirler. Bu, bir korsanın bakış açısından gerçek zamanlı geribildirim ile bir güvenlik ekibi sağlayan değerli bir egzersiz uygulamasıdır.




• SIZMA TESTİ VE WAF



Sızma testi ve WAF'lar münhasır, ancak karşılıklı olarak faydalı güvenlik önlemleridir.
Birçok sızma testi için (kör ve çift kör testler hariç), testçinin bir uygulamanın zayıf noktalarını bulmak ve kullanmak için günlükler gibi WAF verilerini kullanması muhtemeldir.
Buna karşılık, WAF yöneticileri kalem test verileri yararlanabilir. Bir test tamamlandıktan sonra, WAF konfigürasyonları testte bulunan zayıf noktalara karşı güvenli olacak şekilde güncellenebilir.