Sızma Testi Aşamaları

byErhan SAYGILI - 0
Her konuda olduğu gibi sızma testinde de bir plan olmalı ve yapılan çalışmalar bu plana göre yapılmalıdır. Sızma testinde planlama ile istenilen sonucu elde etmek için sıralı adımları içerir. Her aşama da bir sonraki adıma geçmeden önce neyin gerekli olup olmayacağını açıklar.
Sızma testindeki temel aşamalar aşağıda belirtilmiştir.
  • Bilgi toplama 
  • Zafiyet tarama 
  • Sisteme sızma 
  • Erişim koruma 
  • Rapor yazma

Bilgi Toplama 

Sızma testinin en önemli aşamasıdır. Bu aşama hedefin bir profilini oluşturmaya yardımcı olduğu için herhangi bir saldırı testinden önce hedefin profilini çıkarmak çok önemlidir. Elde edilen bilgiler sızma testinin diğer aşamalarında kullanılacağı için hayati öneme sahiptir. Elde edilen verileri gereksiz diye göz ardı etmemek gerekir. İlerleyen aşamalarda hangi bilgilerin işinize yarayacağını önceden fark edemeyebilirsiniz.

Zafiyet Tarama 

Bu aşamada sistem üzerindeki açıklıklar taranıp hangi açıklıklar üzerinden sızma işleminin gerçekleştirilebileceği analiz edilmektedir. Bu aşamada ağın veya uygulamanın hangi hizmetleri çalıştırdığını ve değerlendirme kapsamına dahil olan herhangi bir sistemde herhangi bir güvenlik açığı olup olmadığının tespit edildiği aşamadır. Zafiyet tarama aşaması tespit edilen güvenlik zafiyetlerinin en doğru şekilde değerlendirilebilmesi için manuel test edilmesi gerekir.

Sisteme Sızma 

Zayıflık tarama aşamasında kullanılan araçların sistemde bulduğu açıklıklar üzerinden python, ruby ve java gibi dillerde yazılmış olan bazı exploitlerin çalıştırılarak sistemin sömürülme aşamasıdır. Bu aşama güvenlik açığının neden önemli olduğunu açıklamaya ve güvenlik açığının kuruluş üzerindeki etkisini göstermeye yardımcı olan bir kanıttır.

Erişim Koruma 

Sisteme girildikten sonra erişimin daha sonrada devam edebilmesi için sisteme backdoor, rootkit vb. yerleştirilmesi işlemidir. Kısaca sisteme daha sonra tekrar kolayca girebilmek için açık arka kapı bırakma işlemidir.

Rapor Yazma 

Rapor müşterinin gördüğü ve değerlendirmenin sonunda müşteriye verilen tek somut unsurdur. Sızma testi sonucunun raporu hazırlanırken yapılan test kadar dikkatli ve özen gösterilmelidir. Rapor yazımı test sırasında keşfedilen birkaç güvenlik açığını listelemekten çok daha fazlasını içermelidir. Sistemin hangi açıklıklara sahip olduğu önem derecesine göre raporlanıp firma yetkililerine almaları gereken önlemlerin belirtilmelidir.

Sızma Testi Metodolojileri

Sızma testi alanında, bir hedef sistemde veya ağda sızma testi yapmak için kullanılan birçok resmi ve standart metodoloji vardır.

Bunlardan bazıları;
  • Penetration Testing Execution Standard (PTES) 
  • The Open Web Application Security Project (OWASP) 
  • The Open Source Security Testing Methodology Manual (OSSTMM) 
  • National Institute of Standards and Technology (NIST)

Hadi durma sende yorum yap

Yorum Gönder

Daha yeni Daha eski

Comments