Sızma Testi Nedir?

İngilizce: Penetration Testing

Sızma testi, yetkili uzmanların uygulama, ağ veya altyapıya kontrollü saldırılarla açıkları bulup risk düzeyini raporladığı denetimdir.

Sızma Testi Nedir?

Sızma testi, bir sistemin saldırgan bakış açısıyla ama yazılı izin, kapsam ve yöntem sınırları içinde incelenmesidir. Amaç “hacklemek” değil; üretim ortamına zarar vermeden hangi açıklardan gerçekten içeri girilebildiğini, bu açıklıkların hangi veriye veya işleme ulaşabildiğini kanıtlamaktır.

Bir web uygulaması testinde uzman önce keşif yapar, giriş noktalarını çıkarır, kimlik doğrulama ve yetkilendirme akışlarını dener, ardından bulguları risk seviyesine göre raporlar. Ağ testinde ise açık portlar, yanlış yapılandırılmış servisler, zayıf parolalar ve segmentasyon hataları öne çıkar.

Test Türleri

  • Black box: Test ekibine sınırlı bilgi verilir; dış saldırgan bakışına yakındır.
  • White box: Kaynak kodu, mimari veya erişim bilgileri paylaşılır; kök neden analizi daha güçlüdür.
  • Grey box: Kullanıcı hesabı veya kısmi teknik bilgiyle gerçekçi senaryolar çalışılır.
  • Web, mobil, API ve ağ testleri: Kapsam, sistemin yüzeyine göre ayrı planlanır.

İş Dünyasında Kullanımı

Sızma testi özellikle ödeme alan uygulamalar, müşteri portalları, yönetici panelleri, VPN erişimleri ve API entegrasyonları canlıya çıkmadan önce anlamlıdır. Bulgular yalnızca teknik açık listesi olarak kalmamalı; etki, istismar koşulu, ekran görüntüsü veya istek örneği, önerilen düzeltme ve yeniden test sonucuyla birlikte verilmelidir.

Güvenlik açığı yönetimi, CVE takibi, firewall kuralları ve OWASP kontrolleri sızma testinin doğal tamamlayıcılarıdır.