Bilgi Güvenliğinde Sızma Testi Nedir?

Bir sistemin güvenlik uzmanları tarafından otomatik araçlarla veya manuel olarak bilinen veya bilinmeyen, görünen veya  görünmeyen  tüm güvenlik açıklarına karşı test edilmesi işlemine denir. Bu güvenlik açıklarından faydalanarak sistem üzerinde en yetkili kullanıcı seviyesine ulaşması için değerlendirilir  ve sonuçlar çözüm önerileri ve raporlarla sunulur.

Uygulanış  Şekline Göre Sızma Testleri;

Whitebox: Test yapılacak sistemin kaynak kodları testi yapacak uzmanlarla paylaşılır. Bilgilerin analizi yapıldıktan sonra çalışma prensibi anlaşılıp teste başlanır. Karşılaşılan açık kaynak kodlu uygulamalara whitebox testleri uygulanır. Uygulamanın kaynak kodları derinlemesine incelenerek pratikler yapılır.

Blackbox: Hiçbir bilgi sağlanmadan bir hacker gözüyle testler gerçekleşir. Bulunan açıklar kullanılarak en üst seviyedeki yetkiye ulaşmaya çalışılır. Elde edilen sonuçlar önerilerle beraber raporlanıp sunulur.

Graybox: Hedef sistemle alakalı bazı bilgiler verilir. Bu bilgiler hedef üzerindeki bazı erişim bilgileri olabilir. Hem Whitebox hem de Blackbox yöntemlerini kullanarak gerçekleştirilen testlerdir. Bu testlerde potansiyel risklere, kurumla organize çalışmaya ve kesinlikle gizliliğe dikkat edilmesi gerekmektedir. Sızma testini gerçekleştirecek biri için temel network ve işletim sisteminin bilgisi çok önemlidir.

Pentestin kapsamı nedir?

Yapılan testlerde sistemin donanımsal ve yazılımsal alt yapıları, kullanılan ağ yapıları, web uygulamaları, mobil yapısı ve uygulamaları, veri tabanları ve en önemlisi kullanıcılar ele alınır. Bu sistemler parça parça olarak değil bir bütün olarak düşünülüp çözümlenir.

Penetrasyon Testlerinin Çeşitleri

Ağ Penetrasyon Testi

Bir ağ penetrasyon testinde, potansiyel güvenlik açıkları ve tehditleri için bir ağ ortamını test edersiniz. Bu test, harici(dış ağ) ve dahili(iç ağ) penetrasyon testleri olmak üzere iki kategoriye ayrılır.

Harici bir penetrasyon testi ; ortak IP adreslerini test etmeyi içerirken, dahili bir penetrasyon testinde ; dahili bir ağın bir parçası olabilir ve bu ağı test edebilirsiniz. Ağa VPN erişimi sağlanabilir veya testi gerçekleştirmeden önce tanımlanan sözleşme kurallarına bağlı olarak penetrasyon testi için fiziksel olarak çalışma ortamına gitmeniz gerekebilir.

Web Uygulama Penetrasyon Testi

Web uygulama penetrasyon testi günümüzde oldukça yaygındır, çünkü uygulamanız kredi kartı numaraları, kullanıcı adları ve şifreler gibi kritik verileri barındırıyor; bu nedenle bu tür penetrasyon testleri, ağ penetrasyon testinden daha yaygın hale gelmiştir.

Mobil Uygulama Penetrasyon Testi

Mobil uygulama penetrasyon testi, en yeni penetrasyon test türüdür. Hemen hemen her kuruluş müşterilerine hizmet vermek için Android ve iOS tabanlı mobil uygulamaları kullandığından yaygınlaşmıştır. Kuruluşlar kendi mobil uygulamalarının, güvenli olduklarından emin olmak istiyorlar. Çünkü kullanıcıları bu tür uygulamaları kullanırken kişisel bilgilerini sunuyorlar.

Sosyal Mühendislik Penetrasyon Testi

Bir sosyal mühendislik penetrasyon testi, bir ağ penetrasyon testinin parçası olabilir. Bu testde kuruluş, kullanıcılarına saldırmanızı isteyebilir. Burada, bir kullanıcıya yapmak niyetinde olmadığı şeyleri yaptırmak üzere , kandırmak amacıyla spear phishing saldırıları ve tarayıcı istismarlarını kullanıyorsunuzdur.

Fiziksel Penetrasyon Testi

Fiziksel penetrasyon testi, penetrasyon testi yapan kişi olarak kariyerinizde nadiren yapacağınız testtir. Fiziksel penetrasyon testinde; kuruluşun binasına fiziksel olarak girmeniz , kilitler ve RFID mekanizmaları gibi fiziksel güvenlik kontrollerini test etmeniz istenir.

Penetrasyon testlerinin amaçları:

– Kurumun güvenlik politikalarının ve kontrollerinin verimliliğini test etmek ve denetlemek

– Zafiyet ve açıklık taramasını içten ve dıştan derinlemesine uygulamak

– Standartlara uyumluluk için veri toplayan denetleme ekiplerine kullanılabilir data sağlamak

– Kurumun güvenlik kapasitesi hakkında kapsamlı ve ayrıntılı analiz sunarak güvenlik denetlemelerinin maliyetini düşürmek

– Bilinen zafiyetlere uygun yamaların uygulanmasını sistematik bir hale getirmek

– Kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak

– Güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirmek

– Gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek aksiyonları belirleyen kapsamlı bir plan sunmak

– Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığını belirlemek



Bu testlerin önemi; kilitli sistemlere ve dosyalara yetkisiz erişimin sağlanıp sağlanmadığını belirlemektir. Erişim elde edilirse, güvenlik açığı düzeltilmeli ve penetrasyon testi, sınama temizlenene ve yeniden yetkisiz erişime veya diğer kötü amaçlı etkinliklere izin vermeyene kadar yeniden gerçekleştirilmelidir.


Bu testler günümüzde oldukça popüler olmaya devam ediyor ve çok ciddi miktarlarda yatırımlar sistemin güvenliği ve testi için yapılıyor.

Şehmus POLAT / Febitek Siber Güvenlik Koordinatörü
Fırat Üniversitesi / Elektrik-Elektronik Mühendisliği

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

" FIRAT ELEKTRONİK VE BİLİŞİM TEKNOLOJİLERİ ÖĞRENCİ TOPLULUĞU "