PENTEST HİZMETİ

Hizmetlerimiz
PENTEST HİZMETİ

PENTEST HİZMETİ

 Bilişim sistemlerindeki mantıksal hataları ve zafiyetleri tespit ederek, hata ve zafiyetlerin istismar edilip kötü niyetli kişilerin lehine kullanılımını önlemek amaçlı yapılan güvenlik testine ‘Pentest‘ denir. Bu işlemi yapan kişiye ‘Pentester‘ denir.

    Pentester olmak için Linux’a hakim olmanız ve sistemi bozmaktan korkmayıp farklı bir düşünce yapısında bulunmanız gerekiyor. Tabiri caizse kedi kadar meraklı bir yapıya sahip olmalısınız. Ben şeytana pabucunu ters giydiririm diyorsanız bu iş tam size göre diyebilirim.

Pentest aşamaları ise şunlardır:

    1.Adım: Bilgi Toplama

        Bu adımda test yapılacak sistem üzerinde aktif tarama yapmadan pasif bir şekilde bilgi toplanır.

    2.Adım: Tarama ve Sınıflandırma

        İlk aşamada bir sorunla karşılaşılmaz ise sistem üzerinde aktif tarama yapılır.

    3.Adım: Erişimi Elde Etmek

        Bu aşamada sistem açığına erişmeyi hedefleriz.

    4.Adım: Erişimi Yönetmek

        Üçüncü aşama sağlanırsa açığını bulduğumuz sistemi yönetiriz.

    5.Adım: İzleri Gizleme

        Bu aşamada gerçekleştirdiğimiz işlerimleri yani arkamızda bıraktığımız izleri sileriz.

    Gelelim asıl olaya Pentest çeşitleri:

    İç Ağ (Internal) Sızma Testi: İlgili kurumun içeriye açık sistem veya sistemlerinin hangi verilerine erişilebilir olduğunu tespit etmek için yapılır.

 

    Dış Ağ (External) Sızma Testi: Bu testin içeriği ise dışa açık sistem veya sistemlerin hangi verilerine erişilebilir olduğunu tespit etmek için yapılır.

 

    Web Uygulama Sızma TestiDış Ağ Sızma Testleri ile aynı soruya cevap aranmaktadır fark ise odak noktasının web uygulamaları olmasıdır.

 

    Pentest Yöntemleri ise:

    Temel olarak kabul görülen üç yöntem şunlardır:

    Black Box: Bu yöntemde başlangıçta test yapacak ekibe sistem hakkında hiç bilgi verilmez, ekip sistem hakkında bilgi sahibi  olmadan sistemde mantık hatası ve zafiyet arar. Sisteme zarar gelme olasılığı yüksektir. Sistemi çözmeye çalışan ekip sistem     hakkında hiç bir şey bilmediğinden, bilgi toplama aşaması uzun süren bir yaklaşımdır.

    Gray Box: Bu yöntemde ip adresi, sunucu sisteminin versiyonu gibi bilgiler testi gerçekleştirecek ekibe verilir. BlackBox yaklaşımına nazaran daha kısa sürer ve sisteme zarar verme olasılığı daha düşüktür.

    White Box: Bu yöntemde ise ekip sistem ve sonradan eklenmiş donanımsal malzemeler hakkında biliglendirilir. Hem test sonucunda sorunları çözümleme açısından hem de sistemin zarar görme durumu açısından daha avantajlıdır.