Sızma Testi Nedir?
İngilizce: Penetration Testing
Sızma testi, yetkili uzmanların uygulama, ağ veya altyapıya kontrollü saldırılarla açıkları bulup risk düzeyini raporladığı denetimdir.
Sızma Testi Nedir?
Sızma testi, bir sistemin saldırgan bakış açısıyla ama yazılı izin, kapsam ve yöntem sınırları içinde incelenmesidir. Amaç “hacklemek” değil; üretim ortamına zarar vermeden hangi açıklardan gerçekten içeri girilebildiğini, bu açıklıkların hangi veriye veya işleme ulaşabildiğini kanıtlamaktır.
Bir web uygulaması testinde uzman önce keşif yapar, giriş noktalarını çıkarır, kimlik doğrulama ve yetkilendirme akışlarını dener, ardından bulguları risk seviyesine göre raporlar. Ağ testinde ise açık portlar, yanlış yapılandırılmış servisler, zayıf parolalar ve segmentasyon hataları öne çıkar.
Test Türleri
- Black box: Test ekibine sınırlı bilgi verilir; dış saldırgan bakışına yakındır.
- White box: Kaynak kodu, mimari veya erişim bilgileri paylaşılır; kök neden analizi daha güçlüdür.
- Grey box: Kullanıcı hesabı veya kısmi teknik bilgiyle gerçekçi senaryolar çalışılır.
- Web, mobil, API ve ağ testleri: Kapsam, sistemin yüzeyine göre ayrı planlanır.
İş Dünyasında Kullanımı
Sızma testi özellikle ödeme alan uygulamalar, müşteri portalları, yönetici panelleri, VPN erişimleri ve API entegrasyonları canlıya çıkmadan önce anlamlıdır. Bulgular yalnızca teknik açık listesi olarak kalmamalı; etki, istismar koşulu, ekran görüntüsü veya istek örneği, önerilen düzeltme ve yeniden test sonucuyla birlikte verilmelidir.
Güvenlik açığı yönetimi, CVE takibi, firewall kuralları ve OWASP kontrolleri sızma testinin doğal tamamlayıcılarıdır.
İlgili Terimler
CVE, kamuya açıklanmış güvenlik açıklarına benzersiz kimlik veren ve ekiplerin yamalama önceliği belirlemesini sağlayan standarttır.
FirewallFirewall, cihaz ve ağlar arasındaki trafiği kurallarla filtreleyerek izinli bağlantıları geçirir, şüpheli veya yetkisiz erişimi engeller.
HoneypotHoneypot, saldırgan davranışını gözlemlemek ve erken uyarı üretmek için izole edilen sahte sistem, servis veya veri tuzağıdır.
Güvenlik AçığıGüvenlik açığı, yazılım veya altyapıda yetkisiz erişim, veri sızıntısı ya da hizmet kesintisi için kullanılabilecek zayıflıktır.