Şubat 2021

Sızma Testi Kontrol Listesi

Sızma Testi /

Kontrollerin ve testlerin listesi nasıl olmalıdır? Aşağıda sızma testi için kontrol grupları, web uygulaması senaryolarına göre fizibilitelerini test etmek için öncelikli saldırı vektörleri olarak kullanılan bir liste verilmiştir: 1. Abuse of Functionality (İşlevselliğin Kötüye Kullanımı): Erişim kontrol mekanizmalarını atlamak için web uygulaması işlevlerini kullanma. 2. Brute Force (Kaba kuvvet Saldırısı): Basit ve standart şifrelerin sözlükler […]

Sızma Testi Kontrol Listesi Read More »

Zafiyet taraması ve sızma testi karşılaştırması

Genel /

Sistemlerinizi güvenlik açıklarına karşı test etmenin çok farklı iki yolu Öncelikle her sızma testi güvenlik ihtiyaçlarınızın belirlenmesinde yeterli değildir. Zafiyet taramaları sızma testi değildir. Belirli araçların vermiş olduğu çıktılar açıklarınızın belirlenmesinde yeterli değildir. Sızma testi ve güvenlik açığı taraması genellikle aynı hizmetmiş gibi karıştırılır. Güvenlik açığı taraması, olası güvenlik açıklarını arayan ve raporlayan otomatik, yüksek

Zafiyet taraması ve sızma testi karşılaştırması Read More »

Web Uygulamaları İçin Sızma Testi Neden Önemlidir?

Genel /

Web uygulamaları birçok ağ için kritik sistemlerdir. Web uygulamalarında sürekli bilgi alışverişi yapılmaktadır. Ayrıca, güvenlik açıklarını bulabilecek bilgisayar korsanlarına karşı iyi korunmadığı taktirde güvensiz bir ortam oluşturmaktadır. Bu durumda sormanız gereken sorular şunlardır: Sisteminiz Ne Kadar Güvenli? Ne kadar kapsamlı bir şekilde test edildi? Kötü niyetli bilgisayar korsanlarından önce bu zayıflıkları bulmak için sızma testi önemli bir araçtır. Web uygulaması

Web Uygulamaları İçin Sızma Testi Neden Önemlidir? Read More »

Read Team Nedir?

Sızma Testi /

Read Team değerlendirmesi, bir saldırgan perspektifinden organizasyonun büyük resmini görmek, bütünsel bir görünümünü gerektiren hedefe dayalı bir saldırı faaliyetleridir. Bu değerlendirme süreci,  sahip olunan hassas sistemleri teknik, fiziksel veya sürece dayalı yollarla kullanan karmaşık kuruluşların ihtiyaçlarını karşılamak için tasarlanmıştır. Red Team’in amacı, organizasyonun savunma mekanizmasını gerçek bir saldırıyı püskürtmek için eğitmek ve hazırlamaktır. Bu tabii

Read Team Nedir? Read More »

Redteaming nedir?

Genel /

Red teaming çalışması, sızma testi kavramına çok benzer bir yaklaşım olup daha çok yönlüdür. Kırmızı takımın amacı maksimum sayıda güvenlik açığı bulmak değildir. Amaç, kuruluşun varsa izinsiz girişleri tespit etme ve önleme yeteneğini test etmektir. Ekip, sistemlerde fark edilmeden kalmaya çalışarak hassas bilgilere mümkün olan her şekilde erişmeye çalışır. APT’lere benzer hedefli saldırgan saldırılarını taklit ederler. 

Redteaming nedir? Read More »

Red Teaming Senaryoları

Genel /

Senaryolar, Red Teaming sisteminin hedefler ulaşması için olmazsa olmazlarındandır. Bir anlamda senaryo, failin modeli ve projenin başlamasına ilk ivmeyi veren hedef tarafından belirlenen eylemlerdir. Gerçekleştirilen saldırıların başlangıç ​​noktaları ve vektörleri açısından farklılık gösteren aşağıdaki senaryo türleri örnekleri vardır: • Uzak veya yakın bir saldırgan modelinin başlangıç ​​noktası olarak alındığı kablosuz teknolojileri kullanan senaryolar ve saldırı vektörü olarak kablosuz ağ senaryoları,

Red Teaming Senaryoları Read More »

Sızma Testi Zaman Çizelgesi

BilgiGüvenliği /

Sızma Testi hakkında SecroMix olarak sık sık karşılaştığımız sorulardan biri de, “Ne kadar sürer?”  sorusudur. Eğer bir web uygulamasının sızma testine neden ihtiyaç duyduğunu merak ediyorsanız Web Uygulamaları İçin Sızma Testi Neden Önemlidir?  Makalemizi okuyabilirsiniz. Bu soruya doğru bir cevap verebilmek için bir web uygulaması sızma testinin ne kadar süreceği konusunda olası durumları göze aldığımızda zaman çizelgesi

Sızma Testi Zaman Çizelgesi Read More »

Kırmızı Takım – Mavi Takım

BilgiGüvenliği /

Siber güvenlik endüstrisi asimetriktir, yani çoğu durumda bir saldırgan, bir güvenlik uzmanından daha iyi bir konumda olabilir. Saldırıya uğrayan tarafın 7/24 etkili tetikte her zaman hazır olması gerekir ancak saldırganın yalnızca bir kez etkili olması durumunda görevini başarmış sayılır. Ayrıca saldırgan, saldırının aktifleşitirilme aşamasından önce kurbanını derinlemesine inceleme fırsatına sahipken, karşı taraf bu saldırı sırasında davetsiz misafirleri

Kırmızı Takım – Mavi Takım Read More »

Siber Güvenlik’te takımlar

Genel /

Bilgi güvenliği dünyası sürekli genişliyor ve sızma testi kavramı giderek daha fazla popülerlik kazanıyor. Peki, test sırasında ya da sonrasında oluşturulan ekipler nelerdir? Genellikle Kırmızı takım olarak adlandırılan ekip saldırmak, Mavi takım savunmak, Mor takım ise süreçleri destekleyerek Kırmızı ve mavi takımın becerilerini birleştirmeyi hedefliyor. Kırmızı ve Mavi Takım Nedir. Aralarındaki Fark nedir? Kırmızı Takım aslında sızma

Siber Güvenlik’te takımlar Read More »

Harici, Dahili Penetrasyon (Sızma) Testi

Genel /

Pentest (Sızma Testi) ve Pentester (Sızma Testi Uzmanı) Penetrasyon / Sızma testi, gerçek saldırganların etik hackerlar tarafından gerçekleştirilen eylemlerinin simülasyonudur. Terim genellikle kısaltılarak pentest şeklinde kullanılır. Bu hizmetleri gerçekleştiren uzmanlara pentester (Sızma Testi Uzmanı) denir. Sızma testinin bir parçası olarak, bilgi güvenliği uzmanları belirli bir şirketin sistemlerindeki güvenlik açıklarını, zafiyetleri arar ve yerleşik koruma araçlarını

Harici, Dahili Penetrasyon (Sızma) Testi Read More »