Web Penetrasyon Testi Nedir? Aşamaları Nelerdir?

Web Penetrasyon Testi Nedir?

Pen Test olarak da bilinen penetrasyon (sızma) testi, güvenlik açıklarını kontrol etmek için kullanılan bilgisayar ve ağ sistemlerinize karşı simüle edilmiş bir siber saldırıdır. Web uygulaması güvenliği bağlamında, penetrasyon testi yaygın olarak web uygulama firewall (WAF) seviyesini artırmak için kullanılır.

Penetrasyon testi, kod enjeksiyonu saldırılarına açık unsanitized (sterilize edilmemiş) girdiler ile güvenlik açıklarını ifşa etmek için çatlaklardan sızmayı sağlayacak çok sayıda uygulama sistemini (Uygulama protokol arabirimleri (API’ler), ön / arka uç sunucuları) kapsar.

Penetrasyon testi ile sağlanan bilgiler, WAF güvenlik politikalarınızı ve algılanan güvenlik açıklarını düzeltmek için kullanılabilir. Sızma (Penetrasyon) Testi Nedir? Neden Önemlidir? Çeşitleri Nelerdir? başlıklı yazımızı da okumalısınız.

Penetrasyon Testi Aşamaları Nelerdir?

Penetrasyon testi süreci beş aşamaya ayrılır.

  • Planlama ve keşif

İlk aşama şunları içerir:

Ele alınacak sistemler ve kullanılacak test yöntemleri de dâhil olmak üzere, bir testin kapsam ve hedeflerini tanımlamak.

Hedefin nasıl işlediğini ve potansiyel güvenlik açıklarını daha iyi anlamak için istihbarat (örneğin, ağ ve alan adı, posta sunucusu) toplamak.

  • Tarama

Bir sonraki adım, hedef uygulamanın çeşitli saldırı girişimlerine nasıl tepki vereceğini anlamaktır. Bu genellikle aşağıdakileri kullanarak yapılır:

Statik analiz: Bir uygulamanın kodunu inceleyerek çalışma sırasında davranış biçimlerini tahmin etmek. Bu araçlar, kodu tek bir geçişle tarayabilir.

Dinamik analiz: Bir uygulamanın kodunu çalışır durumda muayene etmek. Bu, uygulamanın performansına gerçek zamanlı bir görünüm sağlayan daha pratik bir tarama yöntemidir.

  • Erişim kazanmak

Bu aşamada, bir hedefin güvenlik açıklarını ortaya çıkarmak için siteler arası komut dosyası oluşturma (cross-site scripting), SQL injection (enjeksiyon) ve backdoors (arka kapılar) gibi web uygulama saldırıları kullanılır. Test yapan kişiler daha sonra sebep olabilecek zararları anlamak için genellikle bu güvenlik açıklarını ayrıcalıkları tırmandırarak, veriyi çalarak, trafiği kaparak, vb. dener ve kullanırlar.

  • Erişim sürekliliği sağlamak

Bu aşamada, bir hedefin güvenlik açıklarını ortaya çıkarmak için siteler arası komut dosyası oluşturma (cross-site scripting), SQL injection (enjeksiyon) ve backdoors (arka kapılar) gibi web uygulama saldırıları kullanılır. Test yapan kişiler daha sonra sebep olabilecek zararları anlamak için genellikle bu güvenlik açıklarını ayrıcalıkları tırmandırarak, veriyi çalarak, trafiği kaparak, vb. dener ve kullanırlar.

  • Analiz

    Penetrasyon testinin sonuçları daha sonra ayrıntılı bir rapor halinde derlenir:

  1. İstismar edilen spesifik güvenlik açıkları.
  2. Erişilen hassas veriler.
  3. Penetrasyon testi yapan personelin sistem tarafından farkedilmeden kalma süresi.

Bu bilgiler, güvenlik açıkları düzeltmek ve gelecekteki saldırılara karşı koruma sağlamak için bir kuruluşun WAF ayarlarını ve diğer uygulama güvenlik çözümlerini yapılandırmaya yardımcı olmak için güvenlik personeli tarafından analiz edilir.


Bir cevap yazın