Penetration Test,Pentest ya da Sızma Testi olarak geçen.Penetration Test,Bir sistemde var olan açıkları bulmak,bulunan açığı analiz etmek ve raporlamaktır.Bulunan açıklar mantık hataları gibi zafiyetler olabilir.Bu açıkları önlemek ve kaynak sistemi güvenli hale getirerek gerçekleştirilen güvenlik testleridir.

Penetration(Pentest) Çeşitleri

İç Ağ (Internal) Sızma Testi,Dış Ağ (External) Sızma Testi,Web Uygulama Sızma Testi olarak üçe ayrılır.

Sızma testleri geniş bir alana yayılır.“Penetration Tester” dediğimiz kişilerin yani testi uygulayacak olanlar. Kendi çalışma alanlarına göre testlerini uygularlar.”Web Uygulama Sızma Testi”,”Network Sızma Testi”,”Application Sızma Testi” gibi birçok alanlar mevcuttur.Test edici bir saldırganmış gibi sistemi test eder,açıkları listeler ve rapor eder ve Firmaya teslim eder.Benzer şekilde raporların da çeşitleri vardır.Yöneticiye ayrı rapor.Çalışanlara ayrı raporlar sunulur.

Penetration Test aslında genel olarak test araçlarıyla gerçekleştirilir.

Sisteme sızamak için kullanılan yazılımlar:

Nmap

Nessus

Metasploit

Immunity Canvas

Core Impact

HP Webinspect

Inguma

Hping

Webscarab

John the Ripper

Saint Ssecurity Scanner

W3af

Pentest yöntemleri için kullanılan yazılamlar:

ISSAF

OWASP Guide

OSTTM

NIST

Penetration Test yapan firma, testi yapacağı firmaya göre strateji geliştirir. Bunun sonucunda ne tür bir test stratejisiyle devam edeceği belli olur. Bunlar konuşulur planlar yapılır ve belli bir sure zarfmda sistemler test edilir. Firmanın alacağı riskler, yapacağı testlerin veri kaybı olması durumunda testl yapan zararlarını üstlenip üstlenmeyeceği. gibi meseleler konuşulmalıdır.

Genel Sızma Testleri

Network Sızma Testleri

Wireless Sızma Testleri

Ddos Saldırısı

Web Uygulama Sızma Testleri

Sosyal Mühendislik Sızma Testleri

Mobil Sızma Testleri

Voip Sızma Testleri

Lan Sızma Testleri

Penetration Testinin Aşamaları Nelerdir?

Keşif

Host Keşfi

Bilgi Toplama (Aktif, Pasif)

Port Tarama

Ağ Analizi

Vulnerability Assessment

Exploiting

Sistemde İlerleme

Raporlama

Pentest Yöntemleri Nelerdir?

Siyah kutu(Black Box)

Siyah kutuda test yapılacak firma,sistem hakkında herhangi bir bilgi sahibi olunmadan test gerçekleştirilir.Yanlışlıkla ve beklenmedik bir durumda sisteme zarar verme ihtimalleri de yüksektir.Hacker gözünden sistemde zafiyet aranır ve sisteme giriş sağlanır.

Beyaz Kutu(White Box)

Bu testte test yapacak firma,testi yapacak kişiye birçok bilgi paylaşır ve buna göre işlemler gerçekleştirilir. Genel olarak bu yöntemin yapılmasındaki neden firma içinde çalışan kişilerin yapabileceği saldırılar tespit edilir ve ne tür kayıplar verebilecekleri ön görülür.

Gri Kutu(Grey Box)

Beyaz kutudaki gibi firma detaylı bilgi vermez.Bu test düşük bilgi düzeyindeki kişilerin vereceği zararları gözlemlemek amacıyla yaptırılmaktadır.

Sızma test işlemlerinde en çok kullanılan işletim sistemi Kali Linux’tur. Firmaların Pentest kavramını öğrenip bu testleri uygulaması oldukça önemli bir meseledir.Aksi halde dahabüyük kayıplara yol açabilir.