Merhaba Arkadaşlar ;
Bugün size Penetrasyon Test Adımlarından bahsetmek istedim, umarım güzel ve bilgi verici olur.
Ilk olarak Penetrasyon nedir ondan bahsedelim,
Penetrasyonun bir diğer ismine Pentest diyebiliriz,
Pentest Testi , şirket,dernek vb. kuruluşların sistemlerini ve sitelerini kötü yazılım,
buglarını (hata), siteye ve sisteme zarar verilebilecek açıkları yöneterek zarar vermeye çalışan hackerlardan
korumak ve bulunan sistem ve site açıklarının belirli güvenlik taramalarıyla kapatılması için zarar vermeden
site ve sistem adminine rapor edilmesi durumudur.
Şimdi Pentest Test Çeşitlerinede göz atalım,
– White Box ( Beyaz Şapkalı Penetrasyon Testi )
Sitede yetkili admin vb. kişileri bilgilendirmek sisteme zarar verebilecek herşeyi rapor etmek amacıdır
– Black Box ( Siyah Şapkalı Penetrasyon Testi )
Sitedeki hiçbir yetkili kişinin haberi olmadan siteye zarar vermek ve veri sızdırmak amacıdır.
– Gray Box ( Gri Şapkalı Penetrasyon Testi )
Siyah Şapkalı Penetrasyon Testi ile Beyaz Şapkalı Penetrasyon Testi testlerini kapsayan yani hem izinli hem izinsiz olarak yapılan test diye tanımlayabiliriz. Gri Şapkalı Penetrasyon Testinde ek olarak çeşitli yetkilerle sisteme ve siteye sızma denetimleri gerçekleştirilir.
Şimdi Penetrasyon Test Adımlarına yani esas konumuza geçebiliriz,
1.Adım – Planlama ve Keşfetme
Ilk olarak Penetrasyon Test uygulayacağımız sitenin hakkında bilgi edinmemiz lazım ve kullanabileceğimiz
method , yöntemleri belirlememiz gerekir.
Mesela Whois gibi yerden sitemiz hakkında birazda olsa bilgi toplayabiliriz.
2.Adım – Tarama,Analiz
Bu adımda ise hedef sistemin çeşitli saldırılarda nasıl tepki verdiğini gözlemek ve analiz etmektir.
2 Analiz şekli vardır ;
a) Statik Analiz : Bir uygulama,sistem vb. nin kodunu,yazılımını inceleyerek çalışma sırasında tepkilerini tahmin etmektir.
Bunlar kodu,yazılımı tek bir geçişle tarayabilir.
b) Dinamik Analiz : Bir uygulamanın kodunu, uygulama aktifken çalıştırmak,
Bu uygulamanın eş zamanlı bir görüntü veren daha kolay bir tarama,analiz yöntemidir.
3.Adım – Erişim Sağlama
Şimdiki adımımızda penetrasyon testi ettiğimiz sitenin buglarını,açıklarını ortaya çıkarmak için Sql Injection , XSS , BackDoor gibi web uygulama saldırıları uygulanır.
Pentesterlar yani penetrasyon testi yaparak açıkları bildiren kişi ve ya kişiler bu açıklara çeşitli payloadlar deneyerek sitenin databasesini dumplamak , trafik akışını kesmek , siteye upload etmek vb.
deneyerek sisteme erişim kazanmaya çalışır.
4.Adım – Analiz
Penetrasyon Testinde çıkan zaafiyetleri (açıkları) bir rapor halide site yetkilisine bildirmektir.
Önemli olan ise neyi nasıl bildirdiğinizdir maddelere bakarsak biraz daha ayrıntılı anlayabiliriz :
1) Eğer database girdiyseniz databaseden bir fotoğraf
2) Hackerların almayı umduğu bilgiler CC , Admin Bilgiler , Gmail vb. Şifrelerinde fotoğraf
3) Nerede güvenlik açığı bulduysanız orayı ayrıntılı şekilde belirtmek
4) Sisteme ne kadar zarar verilebilir ve bunun sonucunda ne olduğu ile ilgili video çekmek
Eğer bu adımları uygularsanız bulduğunuz bug ve açıklara kısa sürede dönüş sağlanacaktır,
Teşekkürler Esenlikle Kalın . . .