Okuma Süresi: 2 Dakika

Konu Başlıkları

Siber Saldırılara Karşı Kalkan: Penetrasyon Testi Metodolojisi ve Aşamaları

Penetrasyon Sızma Testi Metodolojisi ve Fazları

Penetrasyon testi, bilgisayar sistemleri, ağ (network) ve uygulamalardaki güvenlik açıklarını tespit etmek ve sistemleri “Siber Saldırılara” karşı korumak amacıyla gerçekleştirilir. Hem iç hem de dış tehditleri test etmek için uygulanır ve yalnızca yetkili(Yasal) Etik Hackerlar (Beyaz Şapkalı Hackerlar) tarafından yapılmalır.

Bu testler, üç farklı metodolojiye ayrılır:

Black Box Pentest (Test uzmanı sisteme dair hiçbir bilgiye sahip değildir. Amaç dışardan gelecek olan tehditlere karşı sistemi test etmektir)
White Box Pentest (Test uzmanına sistemle ilgili tam bilgi sağlanır. Amacı iç güvenlik açıklarını belirlemektir)
Grey Box Pentest (Test uzmanı sisteme dair sınırlı bilgiye sahiptir. Hem iç tehdit, hemde dış tehditlere karşı sistemi test etmektir)

White Box Penetrasyon Fazları:

1- Keşif (Reconnaissance & Information Gathering)

İlk aşama, test edilecek sistem hakkındaki bilgileri toplama aşamasıdır.
-Kaynak Kod Analizi: Kod yapısı, framework diller incelenir.
-Ağ Haritası: İç ağ yapısı, sunucular.
-Kullanıcı roller: Erişim seviyesi analizleri.

2- Tehdit Modellemesi (Threat Modeling)

Toplanan bilgiler doğrultusunda kullanılacak tehditler ve olası saldırılar planlanır. Veri akışı incelenir.

3- Güvenlik Açığı Analizi (Vulnerability Analysis)

Planlanan tehditler sonrası, güvenlik açıklarını arama ve analiz etme aşamasıdır. Açık bulunur.

4- Sömürü (Explation & Attack Simulation)

Tespit edilen güvenlik açıklarını kullanarak, sistemde ilerleme sağlanır. Yetki yükseltme(Privilege Escalation), Veri çalma(Data Exfiltration), Kod enjeksiyonları (SQLi, XSS, RCE vb.)
5- Raporlama ve Düzeltme Önerileri (Reporting & Remediation)

Hedefin tüm aşamalardaki düşük, orta, yüksek, kritik yönleri ayrıntılı olarak raporlanır ve şirket ona göre güvenliğini artırır.

Black Box Penetrasyon Fazları:

1- Keşif (Reconnaissance & Information Gathering)

İlk yapılacak işlemdir hedef sistem hakkında dışarıdan, Aktif(Etkileşimli) ve Pasif(Etkileşimsiz) bilgiler toplanır.
– Pasif Bilgi Toplama: OSINT (Google Dorking, WHOIS, DNS, SHODAN vb)
– Aktif Bilgi Toplama: Nmap, Netcat.
– Subdomain Tespiti: DNS enumeration.

2- Tarama ve Analiz (Scanning & Enumeration)

Açık portlar, servisler ve zayıflıklar hakkında bilgiler toplanır.
-Ağ Tarama: Nmap
-Zafiyet: Nessus
-Dizin ve Dosya Keşfi: Dirbuster.

3- Güvenlik Açığı Analizi (Vulnerability Analysis)

Toplanan bilgiler kullanılarak, güvenlik açığı analiz etme aşamasıdır.
-Web Pentest : SQL Injection, XSS açıkları taraması.
-Sistem Zafiyetleri : Exploit işleyen bölümleri belirlemek.
-Kimlik Doğrulama Atlatma Testleri: Zayıf parola kullanımı.

4- Sömürü (Explation & Attack Simulation)

Tespit edilen güvenlik açıklarını kullanarak, sistemde ilerleme sağlanıp erişim kazanılır. Yetki yükseltme, veri çalma, kod enjeksiyonları işlemleri yapılır.
-Ağ servislerine Saldırılar: SSH Brute Force
-Web Uygulama Saldırıları : XSS, CSRF gibi güvenlik açıklarından yararlanma.
-Yetki Yükseltme(Privilege Escalation) : Erişim artırma

5- Kalıcılık Sağlama (Post Exploitation & Persistence)

Sisteme erişim sağlandıktan sonra oturumu kaybetmeden içeride kalma amaçlanır.
-Backdoor Yerleştirme: Meterpreter, reverse shell kullanımı.
-Yetki yükseltme: Admin erişimi alma.
-Lateral Movement: İç ağa yayılarak diğer sistemlere sızma.

6- Raporlama ve Düzeltme Önerileri (Reporting & Remediation)

Hedefin tüm aşamalardaki orta, güçlü ve zayıf yönleri ayrıntılı olarak raporlanır. Şirket ona göre güvenliğini artırır.

Gri Box Penetrasyon Fazları:

Penetrasyon fazları genelde aynı olmakla birlikte test sonunda(Raporlama ve Düzeltme Önerileri yapılır)
Black box ve White box a göre genel farkı;
İç ağa sızma (Post Exploitation) ve (Lateral Movement) Uygulanır.
Sistemde Kalıcı Erişim Sağlama ve İç ağa yayılmaktır.
-Kalıcılık : Web shell, backdoor ekleme.
-Veri çalma: Hassas verileri sızdırma (Data Exfiltration)
-Yanal Hareket: Diğer sistemlere yayılma.

Siber Güvenlik Hukuku alanındaki tüm yazılarımız için bağlantıya tıklayınız.

Hukuk ve Bilişim Dergisi’nin Son Sayı’sını bağlantıdan okuyun.

Ahmet BEKMEZCİ’nin Edux Academy’deki tüm yazılarını okumak için bağlantıya tıklayın.

Yazar: Ahmet BEKMEZCİ / Siber Güvenlik Uzmanı

Hukuk ve Bilişim Dergisi

Hukuk ve Bilişim Dergisi ve Blog kısmımızda,

Bilişim Suçları
Blockchain ve Dijital Paralar
Yapay Zekâ ve Robot Hukuku
Elektronik Ticaret Hukuku
İnternet Hukuku
Kişisel Verilerin Korunması Hukuku
Start-Up Hukuku
E-Spor Hukuku
Fikri Mülkiyet Hukuku ve benzer teknoloji hukuku alanlarında yazılar okuyucularımıza sunulmaktadır.

hukukvebilisim.org

güvenlik penetrasyon pentest siber güvenlik white box

Siber Saldırılara Karşı Kalkan: Penetrasyon Testi Metodolojisi ve Aşamaları

Siber Saldırılara Karşı Kalkan: Penetrasyon Testi Metodolojisi ve Aşamaları

Penetrasyon Sızma Testi Metodolojisi ve Fazları

White Box Penetrasyon Fazları:

1- Keşif (Reconnaissance & Information Gathering)

2- Tehdit Modellemesi (Threat Modeling)

3- Güvenlik Açığı Analizi (Vulnerability Analysis)

4- Sömürü (Explation & Attack Simulation)

Tespit edilen güvenlik açıklarını kullanarak, sistemde ilerleme sağlanır. Yetki yükseltme(Privilege Escalation), Veri çalma(Data Exfiltration), Kod enjeksiyonları (SQLi, XSS, RCE vb.)
5- Raporlama ve Düzeltme Önerileri (Reporting & Remediation)

Black Box Penetrasyon Fazları:

1- Keşif (Reconnaissance & Information Gathering)

2- Tarama ve Analiz (Scanning & Enumeration)

3- Güvenlik Açığı Analizi (Vulnerability Analysis)

4- Sömürü (Explation & Attack Simulation)

5- Kalıcılık Sağlama (Post Exploitation & Persistence)

6- Raporlama ve Düzeltme Önerileri (Reporting & Remediation)

Gri Box Penetrasyon Fazları:

Yazar: Ahmet BEKMEZCİ / Siber Güvenlik Uzmanı

Yargıtay Kararları Işığında Karakter, Tipleme Ve Alametlerin İzinsiz Şekilde Kullanılması

DÜNYADA E-FATURA UYGULAMASI

Whatsapp Mesajlarının Delil Niteliği

Hakkımızda

Siber Saldırılara Karşı Kalkan: Penetrasyon Testi Metodolojisi ve Aşamaları

Penetrasyon Sızma Testi Metodolojisi ve Fazları

White Box Penetrasyon Fazları:

1- Keşif (Reconnaissance & Information Gathering)

2- Tehdit Modellemesi (Threat Modeling)

3- Güvenlik Açığı Analizi (Vulnerability Analysis)

4- Sömürü (Explation & Attack Simulation)

Tespit edilen güvenlik açıklarını kullanarak, sistemde ilerleme sağlanır. Yetki yükseltme(Privilege Escalation), Veri çalma(Data Exfiltration), Kod enjeksiyonları (SQLi, XSS, RCE vb.) 5- Raporlama ve Düzeltme Önerileri (Reporting & Remediation)

Black Box Penetrasyon Fazları:

1- Keşif (Reconnaissance & Information Gathering)

2- Tarama ve Analiz (Scanning & Enumeration)

3- Güvenlik Açığı Analizi (Vulnerability Analysis)

4- Sömürü (Explation & Attack Simulation)

5- Kalıcılık Sağlama (Post Exploitation & Persistence)

6- Raporlama ve Düzeltme Önerileri (Reporting & Remediation)

Gri Box Penetrasyon Fazları:

Yazar: Ahmet BEKMEZCİ / Siber Güvenlik Uzmanı

Tespit edilen güvenlik açıklarını kullanarak, sistemde ilerleme sağlanır. Yetki yükseltme(Privilege Escalation), Veri çalma(Data Exfiltration), Kod enjeksiyonları (SQLi, XSS, RCE vb.)
5- Raporlama ve Düzeltme Önerileri (Reporting & Remediation)