Mesele güvenlik olduğunda dünyanın her yerinde iki tür şirket vardır; hacker saldırısına uğradığını bilenler ve saldırıya uğradığını bilmeyenler.
Penetrasyon testi (pen test olarak kısaltılır) veya sızma testi, araştırılan kaynağın mevcut bilgi güvenliği düzeyinin kesinlikle objektif bir değerlendirmesini elde etmek için bir bilgisayar korsanının bir sitedeki eylemlerini modelleyerek yapılır.
Bu çalışmaların uygulanması, web uygulamasının güvenlik düzeyini artırmak için yeterli ve kapsamlı bir önlem programı geliştirmemize olanak tanır ve bu da operasyonel, finansal ve itibar risklerinin kabul edilebilir bir seviyeye indirilmesine yol açar. Basitçe söylemek gerekirse, güvenliği gerçekten ciddi bir şekilde düşünüyorsanız, bu sitenizin gelişimindeki en mantıklı aşamadır.
Profesyonel bir sızma testi sürecinin nasıl işletilmesi gerektiği konusunda dünya genelinde kabul görmüş çeşitli standartlar vardır. OWASP ve WASC sınıflandırmaları, ISO 17799/27000 Serisi Standartları gibi.
Bir sızma testi raporu içeriğinin nasıl olması gerektiği daha doğrusu sızma testi anatomisi şu şekilde olmalıdır:
- Bilgilerin toplanması ve analizi.
- Güvenlik açıklarının belirlenmesi.
- Bir saldırı uygulamak.
- Analiz ve raporlama.
Sızma Testi / Pentest Raporu nasıl olmalıdır?
Rapor, işin metodolojisini, denetim nesnesini, test kapsamını tanımlayacak bir giriş içermeli ve ayrıca test sırasında kullanılacak güvenlik analiz araçları hakkında bilgi içermelidir. Test sırasında algılanan her güvenlik açığına yüksek, orta, düşük gibi risk derecelendirmesi yapılır.
“Ortak Güvenlik Açığı Puanlama Sistemi (CVSSv2)”, MITRE (CAPEC) ve OWASP sınıflandırmaları, risk derecesini tanımlamak ve tespit edilen güvenlik açıklarının önem derecesini değerlendirmek için kullanılır. Ayrıca, tüm güvenlik açıkları istismar karmaşıklığı ve tespiti ile sınıflandırılmalıdır.
Örnek Saldırı senaryosu
Bir SQL enjeksiyon saldırısında hacker (bilgisayar korsanı), bazı SQL komutlarını ad ve adres bilgisi isteyen bir web formuna yazar. Web sitesi ve veri tabanı doğru programlanmadıysa, veri tabanı bu komutları yürütmeye çalışır. Komutlar icra olduğunda Kimlik Doğrulaması atlatılmış ve şirket için önemli bilgiler artık yetkisiz birinin eline geçmiş olur. Bu açık kullanımı oranı % 7civarındadır.
Hacker, giriş (input) alanına normal parametreler yerine SQL sorguları da koyarak uygulamaya göndermeyi dener. Uygulamada doğrudan, bu SQL bölüğünü içerdiği diğer parametrelerle birlikte birleştirerek veri tabanına gönderir. Yani kullanıcı adı kısmında id numarasını alıp “SELECT * FROM USERS WHERE ID=$id” sorgusunu oluşturuyorsa, parametre yerine “100 or 1=1” gönderip oluşacak sorgunun “SELECT * FROM USERS WHERE ID=100 or 1=1” olmasını sağlarız. Bu da USERS tablosundaki tüm kayıtların bize gösterilmesini sağlar.
Her türlü saldırıdan korunmanın en iyi yolu saldırının nereden ve nasıl geleceğini bilip bunlara karşı önlem almaktan geçer. SecroMix alanında uzman personeli ile yaptığı sızma testler sonucu işte bu önlemleri almanıza yardımcı olur.
Unutmayın günümüzde internet sitelerin % 70’inde kaynak tehlikesi ve veri sızıntısına yol açan yüksek riskli güvenlik açıkları vardır.
Neden SecroMix?
Ekibimiz, en prestijli CTF hack yarışmalarına (“Capture the Flag”) katılan penetrasyon testi deneyimine ve gerekli sertifikalara sahip (CEH, LPT,…), standartlara uygun (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) araştırmacı ve hata ödül programlarında başarılı katılımcıları içerir.
Firma olarak riskleri azaltmak, tüm güvenlik açıklarını düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinize destek sağlamak için ayrıntılı öneriler ve özel planlar sunuyoruz.
Unutmayın sistem sızma testleri/pentest/penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin gerekli bir unsuru olmazsa olmazlarındandır.
Pandemi Dönemine Özel,
Sızma Testi / Pentest / Penetrasyon testi, SIEM, CoSoSys DLP (KVKK, GDPR Uyumlu DLP), bilgi güvenliği danışmanlığı, siber güvenlik kapsamında fiyat teklifi ve Ücretsiz Siber Güvenlik Farkındalık Analizi için iletişime geçebilirsiniz.