Pentest Nedir ?
Sızma testi olarak da bilinen Pentest nedir? İstismar edilebilir güvenlik açıklarını kontrol etmek için bilgisayar sisteminize karşı simüle edilmiş bir siber saldırıdır. Web uygulama güvenliği bağlamında, Pentest genellikle bir web uygulaması güvenlik duvarını (WAF) artırmak için kullanılır.
Pentest, kod yerleştirme saldırılarına açık olan temizlenmemiş girdiler gibi güvenlik açıklarını ortaya çıkarmak için herhangi bir sayıda uygulama sisteminin (örneğin, uygulama protokol arabirimleri (API’ler), ön uç / arka uç sunucuları) ihlal edilmeye çalışılmasını içerebilir.
Pentest tarafından sağlanan iç görüler, WAF güvenlik politikalarınızda ince ayar yapmak ve tespit edilen güvenlik açıklarını yamalamak için kullanılabilir.
Pentest Aşamaları
Pentest aşamaları beş farklı basamak şeklinde birbirinden ayrılarak incelenebilirler. Bu basamakların her biri farklı bir senaryo üzerine kuruludur.
1. Planlama ve keşif
Planlama ve keşif aşamasında ele alınacak sistemler ve kullanılacak test yöntemleri dahil olmak üzere bir testin kapsamını ve hedeflerini tanımlamayı içerir.
Bir hedefin nasıl çalıştığını ve potansiyel güvenlik açıklarını daha iyi anlamak için istihbarat toplama (Örnek olarak ağ ve alan adları, posta sunucusu vb.) işlemleri de bu aşamada ele alınır.
2. Tarama
Bir sonraki adım olan tarama adımında ana hedef; uygulamanın çeşitli saldırı girişimlerine nasıl yanıt vereceğini anlamaktır. Bu genellikle şu şekilde yapılır:
Statik analiz → Çalışırken nasıl davrandığını tahmin etmek için bir uygulamanın kodunu incelemeyi ifade eder. Bu araçlar, kodun tamamını tek geçişte tarayabilir.
Dinamik analiz → Çalışır durumda bir uygulamanın kodunu incelemeyi ifade eder. Bu tarama şekli bir uygulamanın performansına gerçek zamanlı bir görünüm sağladığı için daha pratik bir tarama yöntemidir.
3. Erişim Kazanma
Erişim kazanma aşamasında, bir hedefin güvenlik açıklarını ortaya çıkarmak için siteler arası komut dosyası oluşturma, SQL enjeksiyonu ve arka kapılar gibi web uygulaması saldırıları kullanır. Test uzmanları daha sonra, neden olabilecekleri zararı anlamak için genellikle ayrıcalıkları artırarak, verileri çalarak, trafiğe müdahale ederek vb. güvenlik açıklarından yararlanmaya çalışır.
4. Erişimi sürdürmek
Erişimi sürdürmek aşamasının amacı, güvenlik açığının, kötü bir aktörün derinlemesine erişim elde etmesi için yeterince uzun olan, sömürülen sistemde kalıcı bir varlık elde etmek için kullanılıp kullanılamayacağını görmektir. Buradaki fikir, bir kuruluşun en hassas verilerini çalmak için genellikle aylarca sistemde kalan gelişmiş kalıcı tehditleri taklit etmektir.
5. Analiz
Pentestin sonuçları daha sonra aşağıdaki ayrıntıları içeren bir rapor halinde derlenir:
- Sömürülen belirli güvenlik açıkları
- Erişilen hassas veriler
- Kalem test cihazının sistemde tespit edilmeden kaldığı süre
Elde edilen bu bilgiler, güvenlik açıklarını yamalamak ve gelecekteki saldırılara karşı korumak için bir kuruluşun WAF ayarlarını ve diğer uygulama güvenlik çözümlerini yapılandırmaya yardımcı olmak için güvenlik personeli tarafından analiz edilir.
Pentest Yöntemleri
Pentest uygulamaları birtakım pentest yöntemleri içermektedir. Bunların farklı başlıklarda incelenmesi daha konunun daha anlaşılır olmasına olanak tanıyacaktır.
Harici test
Harici test ya da diğer adı ile harici sızma testleri, bir şirketin internette görünen varlıklarını, örneğin web uygulamasının kendisini, şirketin web sitesini ve e-posta ve alan adı sunucularını (DNS) hedefler. Amaç, erişim sağlamak ve değerli verilere ulaşmaktır.
Dahili test
Dahili test, güvenlik duvarının arkasındaki bir uygulamaya erişimi olan bir test cihazı, içeriden kötü niyetli bir kişinin saldırısını simüle eder. Bu ille de hileli bir çalışanı simüle etmek demek değildir. Yaygın bir başlangıç senaryosu, kimlik avı saldırısı nedeniyle kimlik bilgileri çalınan bir çalışan da olabilir.
Kör test
Kör test (blind test) uzmanına yalnızca hedeflenen kuruluşun adı verilir. Bu, güvenlik personeline gerçek bir uygulama saldırısının nasıl gerçekleşeceğine dair gerçek zamanlı bir bakış sağlar.
Çift kör test
Çift kör test (double blind test), uygulamasında güvenlik personelinin simüle edilmiş saldırı hakkında önceden bilgisi yoktur. Gerçek dünyada olduğu gibi, bir ihlal girişiminden önce savunmalarını güçlendirmek için zamanları olmayacaktır.
Hedeflenen test
Hedeflenen test uygulaması sırasında hem test cihazı hem de güvenlik personeli birlikte çalışır ve hareketlerini karşılıklı değerlendirirler. Bu, bir bilgisayar korsanının bakış açısıyla bir güvenlik ekibine gerçek zamanlı geri bildirim sağlayan oldukça değerli bir eğitim alıştırmasıdır.