Cüneyt BERGEL

Güvenlik uzmanı ve sistemlerinin güvenliğini test etmek isteyen firma ile yapılan anlaşma doğrutusunda ,firma sistemleri test edilir.

3 Çeşit Pen Test Metodu vardır ;

1. White Box ( Beyaz Kutu Testi ) : Güvenlik uzmanına firma içindeki tüm sistemler hakkında bilgi verilir. Bu metod önceden firmada çalışmış ve ayrılmış saldırganın firmaya saldırı yapma olasılığını ve sonuçlarını test etme amacıyla tasarlanmıştır.

2. Black Box ( Siyah Kutu Testi ) : Bu metod ile güvenlik uzmanına hiç bir bilgi verilmez , Sadece IP yada gerekmiyorsa bu bile verilmez , Tamamen zarar vermek, kişisel tatmin  ve bilgi çalmak  amacıyla  dışarıdan gelebilecek bir saldırganın verebileceği zararı görmek ve önlem almak için tasarlanmış metodtur.

3. Grey Box ( Gri Kutu Testleri ) : Firma içerisinde düşük yetkilere sahip kullanıcının sisteme ve firmaya verebileceği zararı test etmek amaçlı düşünülmüş metodtur.Güvenlik uzmanı firma içinde belirli süre zarfında bulunup sistem açıklarını tarar ve bunları raporlar.

Yine isteğe göre sadece Web Yazılımları Zayıflık Kontrol Testleri  bilinen tüm yöntemler kullanılarak yapılır.

Bu testler yapılırken ihtiyaca göre aşağıdaki yöntemler kullanılır ,1.) Footprinting ( İz Sürme )2.) Enumeration ( Çalışan Sistemlerden bilgi toplama )3.) Scanning ( Tarama )4.) Sniffing ( Network te Dolaşan Paketlerin İncelenmesi )5.) Sistem Zayıflık Testleri 6.) Trojan ve Backdoor Testleri 7.) DOS saldırıları 8.) Yazılım Zayıflık Testleri 9.) Sosyal Mühendislik Yöntemleri10.) Wireless Güvenlik Testleri11.) Fiziksel Güvenlik Testleri12.) Firewall & IDS Testleri 13.) Buffer Overflow Testleri 14.) SQL Injection15.) XSS ( Cross Site Scripting ) 

Firma ile yapılan anlaşma doğrultusunda testler sistemlerin az kullanıldığı zaman birimlerinde yapılır ,

Güvenlik uzmanı raporunu sadece anlaşma yaptığı firma yetkilisine sunar ve rapor firmaya teslim edildikten sonra sistemlerdeki düzeltmeler gerek Güvenlik uzmanı yada firma yetkilileri tarafından yapılır. Güvenlik testlerini yapan firma testler sonlandıktan hazırlanan raporu yok eder  ve bundan sonraki çalışmalarında referans olarak güvenlik testleri yaptığı firmaların  isimlerini kullanamaz.

Eğer Firmanız için Bu testlerin yapılmasını istiyorsanız anlaşma yaptığınız şirkete çok önem vermelisiniz , Bu şekilde çalışıp önce firmalara saldırı yapıp daha sonra görüşmeye giden firmalar olduğunu duyuyoruz.