Penetrasyon Testi Çeşitleri
Penetrasyon Testinin bir diğer karşılığı ise sızma testidir (Penettration Test). Banka, holding, devlet kurumu gibi büyük sistemler ve büyük ağlar kullanan kurumlarda bilgi güvenliği oldukça zor bir iştir. Bu sebepten ötürü sızma testi gerçekleştiren özel firmalar belirli aralıklarda, talep üzerine bu sistemlerin güvenliğini test eder. Bu gerçekleştirilen test işlemine Sızma Testi veya Penetrasyon Testi adı verilmektedir. Penetrasyon Testini gerçekleştiren kişilere ise Penetration Tester ya da kısaca Pentester denilmetedir.
Penetrasyon Testi, “WhiteBox”, “Blackbox” ve “GrayBox” olmak üzere 3 türe ayrılmıştır.
Blackbox Pentest
Bu test türünde test yapılacak firma, testi yapacak kişi veya kuruma herhangi bir bilgi vermez. Firmanın tamamen herkes tarafından erişlebilen alan adları üzerinden gerçekleştirilir. Örnek vermek gerekirse diyelim ki siz bir şirketin sadece domainleri yani alan adlarında bulunan zafiyetleri tespit ediyorsunuz. Bu zafiyetler ise SQL Injection ve XSS gibi güvenlik zafiyetlerini tespit ediyoruz. İşte bu işlem BlackBox olarak adlandırılmaktadır.
GrayBox Pentest
Bu test türü ise renginden anlışlabileceği gibi whitebox ve blackbox’un toplamı gibidir. Bir yandan dışarıdan yetkisiz bir kullanıcı gibi test işleminizi gerçekleştirirken diğer yandan firma içerisinde kısıtlı bilgiye sahip olan kişiler kadar iç bilgiye sahip olarak bir test gerçekleştiriyorsunuz.
WhiteBox Pentest
Bu test türü ise firma içerisinde önceden çalışmış ve hala çalışmakta olan kişilerin olası bir saldırısının doğurabileceği riskleri belirlemek için yapılan test türüdür. Yine yukarıdaki örnekten yola çıkacak olursak, ben size firmamda çalışan kişilerin bildiği ve yetkisi olduğu her şeyi bildiriyorum. O bilgileri dahilinde bir sızma testi gerçekleştiriyorsunuz. Bu test türünü WhiteBox olarak adlandırıyoruz.
