Sızma/pentest testi yapmak için öncelikle hedefe ulaşmak gerekmektedir. Bu durum sadece sızma/pentest testleri için değil, genel olarak hackerlar tarafından da kullanılan yöntemlerdir. Çünkü sistemler karmaşık yapılardır ve hakkında ne kadar çok şey bilinirse, sızma işlemi o kadar kolay olmaktadır.
Sızma testleri için bilgi toplama noktasında ise farklı yöntemler ve bu yöntemleri gerçekleştirmek için bazı araçlar kullanılmaktadır. Bu sayede sistemler, daha hızlı bir şekilde test edilebilmektedir ve bilgi toplanılacak yerler tespit edilmektedir.
Sızma testlerinde bilgi toplama yöntemleri iki farklı şekilde yapılmaktadır. Bu yöntemler, Aktif Bilgi Toplama ve Pasif Bilgi Toplama yöntemleridir.
Aktif Bilgi Toplama
Hedef ile doğrudan iletişime geçilerek bilgi toplanması yöntemidir. Bu yöntemde hedef kendisi hakkında bilgi toplandığı bilebilir.
dirb
Kali Linux!a kurulu olarak gelen dirb, çok sık tercih edilen bir araçtır. Web sitelerinin görüntülenebilecek uzantılarını tespit eder ve bu uzantılar hakkında bilgiler sağlar.
Sandmap
Ağ ve sistemler bulmaya yarayan bir araçtır. Nmap Scripting Engine ve TOR desteği bulunmaktadır.
DMitry
Açık portların, e-posta adreslerinin ve subdomain (alt alan adı) gibi tarayarak, bilgiler sağlayan araçtır.
Pasif Bilgi Toplama
Pasif bilgi toplama yönteminde hedef ile doğrudan iletişime geçilmezken, herkese açık bilgilerin taranması yapılarak bilgiler toplanmaktadır. Bu sebeple hedef kendisi hakkında bilgi toplandığını bilmemektedir.
Web sitesinin sunucusunu, sunucunun işletim sistemini ve arka planda çalışan yazılımlarını tespit eden bir web sitesidir.
Whois
Web sitesinin yayınlandığı alan adının kime ait olduğunu sorgulayan sitedir. Adres, e-posta adresi ve telefon numarası gibi kritik bilgileri sağlayabilmektedir.
TinfoLeak
Twitter hesaplarını kullanarak hedefteki kişinin bilgilerini toplamaya yarayan bir araçtır.
Neden SecroMix?
Ekibimiz, en prestijli CTF hack yarışmalarına (“Capture the Flag”) katılan penetrasyon testi deneyimine ve gerekli sertifikalara sahip (CEH, LPT,…), standartlara uygun (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) araştırmacı ve hata ödül programlarında başarılı katılımcıları içerir.
Firma olarak riskleri azaltmak, tüm güvenlik açıklarını düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinize destek sağlamak için ayrıntılı öneriler ve özel planlar sunuyoruz.
Unutmayın sistem sızma testleri/pentest/penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin gerekli bir unsuru olmazsa olmazlarındandır.
Pandemi Dönemine Özel,
Sızma Testi / Pentest / Penetrasyon testi, SIEM, CoSoSys DLP (KVKK, GDPR Uyumlu DLP), bilgi güvenliği danışmanlığı, siber güvenlik kapsamında fiyat teklifi ve Ücretsiz Siber Güvenlik Farkındalık Analizi için iletişime geçebilirsiniz.