sızma testi nasıl yapılır

Sızma Testi (Pentest) Nedir? Nasıl Yapılır? – Tam Rehber

/ Siber Güvenlik / Yazan

Sızma Testi Nedir?

Sızma testi, bir saldırganın uygulayabileceği yöntemleri kontrollü biçimde simüle ederek kurumların güvenlik açıklarını tespit etmeyi amaçlayan teknik bir güvenlik değerlendirmesidir. Amaç; sistemlerdeki zafiyetleri bulmak, istismar edilebilirliklerini ölçmek ve kurumun güvenlik seviyesini somut verilerle ortaya koymaktır.

Ayrıca günümüzde KVKK, ISO 27001, BDDK, EPDK ve SPK gibi düzenlemeler, kurumların düzenli sızma testi yaptırmasını zorunlu hâle getirmiştir.

Sızma Testi Nasıl Yapılır? Aşamalar

Bir sızma testi (pentest) çalışması, kurumun dijital varlıklarını gerçek bir saldırgan gibi değerlendirerek zafiyetleri ortaya çıkarmak ve bu zafiyetlerin ne ölçüde istismar edilebileceğini anlamak için yürütülen sistematik bir süreçtir. Bu süreç boyunca keşif, analiz, istismar denemeleri ve raporlama adımları uygulanır. Böylece kurumlar, saldırganların izleyeceği yolları önceden görür, risklerini somut verilerle ölçer ve güvenlik seviyelerini iyileştirmek için net bir yol haritası elde eder.

1. Keşif (Reconnaissance)

Bu aşamada saldırı yüzeyinin tamamı belirlenir.

  • Açık kaynak araştırması
  • Domain ve alt domain keşfi
  • IP aralıklarının çıkarılması
  • E-posta ve kullanıcı adlarının toplanması

2. Tarama ve Zafiyet Analizi

Bu aşamada potansiyel giriş noktaları ve güvenlik açıkları tespit edilir.

  • Port taramaları
  • Servis versiyon tespiti
  • Otomatik ve manuel zafiyet analizi

3. İstismar (Exploitation)

Bu adımda zafiyetin gerçek etkisi ortaya çıkarılır.

Etik hacker, tespit edilen zafiyetleri istismar ederek sisteme sızmayı dener.

Örnek saldırı tipleri:

  • Uzaktan Kod Çalıştırma (RCE)

  • SQL Injection

  • Kimlik doğrulama atlatma

  • Dosya yükleme istismarı

4. Yetki Yükseltme (Privilege Escalation)

Bu aşama, saldırganın sistem içinde ne kadar derine inebileceğini gösterir.

  • Domain Admin elde etme

  • Yerel ayrıcalık artırma

  • Hassas verilere erişim sağlama

5. Kalıcılık Sağlama (Persistence)

Bu adım yalnızca izin verilen senaryolarda uygulanır ve saldırganın tespit edilip edilemeyeceğini ölçmeye yarar.

  • Backdoor oluşturma

  • Yeni kullanıcı ekleme

  • Zamanlanmış görev oluşturma

6. Raporlama ve Yönetici Özeti

Teknik Rapor İçeriği:

  • Her zafiyetin teknik açıklaması

  • Etki ve istismar senaryoları

  • Ekran görüntüleri

  • Çözüm önerileri

Yönetici Özeti:

  • Kurumun genel risk değerlendirmesi

  • Kritik bulguların özet tablosu

  • Önceliklendirilmiş aksiyon planı

Doğrulama Testi:
Düzeltme yapıldıktan sonra kritik zafiyetlerin kapandığı ücretsiz doğrulama testi ile doğrulanır.

Sızma Testi Hangi Sistemlere Uygulanır?

  • Dış ağ (internete açık sistemler)

  • İç ağ (LAN)

  • Web uygulamaları

  • Mobil uygulamalar

  • API’ler

  • Kablosuz ağlar

  • VoIP altyapıları

  • DDoS dayanıklılık testleri

Sızma Testi Sonuçları Kurumlara Ne Sağlar?

  • Veri sızıntısı riskini azaltır
  • Siber saldırı ihtimalini düşürür
  • İş sürekliliğini artırır
  • Regülasyonlara uyumu güçlendirir
  • Yönetim ekiplerine ölçülebilir risk skoru sunar

Pentest standartları hakkında daha fazla bilgi için OWASP Testing Guide dokümanına göz atabilirsiniz.
https://owasp.org/www-project-web-security-testing-guide/

İlginizi çekebilecek diğer makaleler:

Biz Ne Yapıyoruz ?

Sparta Siber Güvenlik, kurumların bilgi teknolojileri ve siber güvenlik ekiplerine destek olarak, onların bir parçası gibi çalışır. Uluslararası sertifikalı ve sürekli eğitim alan uzman kadromuzla sızma testleri ve ileri düzey siber güvenlik hizmetleri sunarız.

Bize Ulaşın:

+90 (312) 909 33 02