Penetration testing ne amaçlarla gerçekleştirilir. Öncelikle birçok kaynağa referans vermeden önce. Aslında nedir biraz anlatmak lazım. Penetration test yasal izin ve yasal izne ait evraklar alındıktan sonra hedef sistem, sunucu, ip adresi kümelerinde mevcut durumda olabilecek güvenlik problemlerinin tespit edilmesi faliyetleri olarak tanımlayabiliriz.
Peki soru zamanı? Penetration test (sızma testi) Nessus, openvas gibi otomatize araçlarla gerçekleştirmek yeterli midir?
Bu sorunun cevabı tabiki yiğidin yoğurt yiyişine göre değişecektir. Fakat deneyimlerimizden paylaşabileceğimiz kadarıyla ağ ve/veya web scanner’lar yanında elle kontroller can alıcı birçok bulgunun yakalanmasına yardımcı olmaktadır. Sonuç olarak penetration testi yaparken manuel elle gerçekleştirdiğimiz denetimler fark yaratır diyebiliriz.
Güvenlik problemi de nedir peki
Aslında güvenlik problemi bir bakış açısından sistemlerin tasarlandıkları dışında kullanmak, durdurmak veya bu yazılım yada sistemler üzerinden farklı kaynak ve/veya sunuculara yönelik gerçekleştirilebilecek her türlü varlık,problem, yanlış yapılandırma, yazılım mimari sorunları kapsar diyebiliriz.
Birazda açıkça söylemek gerekirse bazı güvenlik problemleri sizin onu nasıl kullanacağınızı bilinmemesi durumda özellik sayılabilir. It is not a bug , a feature. 🙂
Yani derya deniz. Hemen hevesimiz kırılmamalı. Yıllar sadece bilmediklerinizi öğretiyor aslında.