Bir sitenin sızma testi, birleşik saldırı yöntemlerine karşı direnç testi yapılarak gerçekleştirilir. OWASP, WASC, OSSTMM, PTES metodolojilerine ve ayrıca PCI DSS standardının en iyi uygulamalarına ve önerilerine dayanır. Tüm işler, uzman elemanların kapsamlı pratik deneyimleriyle desteklenir.

Güvenlik açığı vakalarının % 100’ünde OWASP İLK 10 listesinden güvenlik açıklarını tespit ediliyor. Vakaların % 80’inde tespit edilen güvenlik açıkları kritik öneme sahip ve gizli bilgilere veya sunucuya yetkisiz erişime izin veriyor. Uygulamalarımızda, bir site güvenliği denetiminin erişime sona erdiği durumlar bile vardır.

Sızma Testi

Secromix olarak müşterinin BT altyapısına güvenlik açığı tarayıcılarını kullanmanın imkansız hale geldiği durumlarda, güvenlik açıklarını manuel olarak araştırır ve kullanırız. Web uygulamalarının güvenliğinin en eksiksiz ve doğru değerlendirmesi için çeşitli atlama tekniklerini ve diğer başka etkili saldırı mekanizmalarını kullanıyoruz.

Sızma testi, bir ağ çevresinin güvenlik durumunu değerlendirmenin dünya çapında popüler bir yoludur. Bu tür testlerin özü, mevcut bilgi sistemi koruma araçları kompleksini atlamak için yetkili bir girişim yapmaya çalışmaktır. Test sırasında, bir güvenlik analisti, müşterinin ağının bilgi güvenliğini ihlal etmeye motive olan bir saldırgan rolünü oynar. Sızma testi / Penetrasyon testi hizmetlerinin sağlanması OSSTMM (Açık Kaynak Güvenlik Testi Metodoloji Kılavuzu), PTES (Sızma testi yürütme standardı) metodolojilerine dayanır ve şunları içerir:
  • Pasif bilgi toplama;
  • Bağlantı noktası taraması;
  • Ağ ekipmanı türlerinin ve türlerinin belirlenmesi;
  • Ağ altyapısında işletim sistemi türlerinin ve türlerinin belirlenmesi;
  • Ağ altyapısındaki bitişik çevre birimlerinin türlerinin ve türlerinin belirlenmesi;
  • Özel cihaz türlerinin veya bunların kombinasyonlarının belirlenmesi;
  • Sosyal medya bilgilerinin toplanması ve kamusal istismarların araştırılması;
  • Alınan bilgilerin bir yerde toplanarak analiz edilmesi;
  • “Giriş noktalarının” tanımı;
  • Saldırı vektörlerinin tanımı;
  • Sömürme girişimleri;
  • Alınan vektörlerin teyidi;
  • Bir raporun oluşturulması.

Sonuç

Test sonucunda güvenlik açıkları ayrıntılı olarak anlatılarak çözüm önerileri sunulmaktadır.

Secromix firması olarak, gerekli tüm sertifikalara sahibiz. Firmamız güven düzeyi gereksinimlerinizi belirlemek için KVKK hükümlerine göre sızma testi yapma lisansına sahiptir. Secromix olarak riskleri azaltmak, tüm güvenlik açıklarınızı düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinizde size destek sağlamak için ayrıntılı öneriler ve özel planlar hazırlamak için çalışıyoruz.