Sızma Testi (Pen Test) nedir? — Bilgi Güvenliği Sözlüğü

Uyum & Yönetim

Sızma Testi (Pen Test)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Sistemlerinizin gerçekten güvenli olup olmadığını öğrenmenin en dürüst yolu, gerçek bir saldırgan denemeden ÖNCE yetkili bir uzmana sistemi denetimli biçimde "hacklettirmektir" — sızma testi tam da budur.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta sızma testini (penetration testing / pen test) inceliyoruz. Yetkili bir uzmanın, kötü niyetli bir saldırganı taklit ederek bir sistemin açıklarını gerçekten istismar edip etmediğini kontrollü biçimde nasıl ölçtüğünü; bu sürecin adımlarını ve iş hayatında neden vazgeçilmez olduğunu ele alacağız.

Anlatım

NEDİR? Sızma testi (penetration testing / pen test), bir bilgi sistemi, ağ, uygulama veya kuruluşun güvenliğini ölçmek için YETKİLİ ve önceden anlaşmaya bağlanmış bir saldırı simülasyonudur. Test uzmanı (pentester / etik hacker), gerçek bir saldırganın yöntem ve araçlarını kullanır; ancak amaç zarar vermek değil, istismar edilebilir zafiyetleri saldırgandan önce bulup raporlamaktır. Pen test'i zafiyet taramasından (vulnerability scanning) ayıran kritik fark şudur: zafiyet taraması yalnızca olası açıkları LİSTELER; sızma testi bu açıkların GERÇEKTEN istismar edilip edilemeyeceğini ve istismar edilirse ne kadar derine gidilebileceğini kanıtlar. En temel ve değişmez kural: test, kapsam (scope) ve yetki belgesi (Rules of Engagement / yazılı izin) olmadan ASLA yapılmaz — izinsiz test, çoğu ülkede ve Türkiye'de (5237 sayılı TCK md. 243 vb.) suçtur. NASIL ÇALIŞIR? Sızma testi tipik olarak şu aşamaları izler: 1) Kapsam ve yetkilendirme: Hangi IP/uygulama/sistemlerin test edileceği, hangi yöntemlerin yasak olduğu ve zaman aralığı yazılı sözleşmeyle belirlenir. 2) Keşif (reconnaissance): Hedef hakkında açık kaynaklardan (OSINT), DNS, port taramasıyla bilgi toplanır. 3) Tarama ve numaralandırma (scanning / enumeration): Açık portlar, servisler, sürümler ve olası zafiyetler haritalanır. 4) İstismar (exploitation): Bulunan zafiyetler kontrollü biçimde denenir — örneğin SQL injection ile veri çekme, zayıf parolayla giriş, bilinen bir CVE'nin sömürülmesi. 5) İstismar sonrası / yetki yükseltme (post-exploitation / privilege escalation): Erişim sağlandıysa, saldırgan ne kadar ilerleyebilir, hangi verilere ulaşabilir, kalıcılık (persistence) sağlanabilir mi diye ölçülür. 6) Raporlama: Bulgular önem derecesine (kritik/yüksek/orta/düşük) göre, kanıtlarıyla (PoC), iş etkisiyle ve düzeltme önerileriyle birlikte raporlanır. 7) Yeniden test (re-test): Düzeltmelerin gerçekten işe yaradığı tekrar doğrulanır. Test, kuruluşun pentester'a verdiği bilgi düzeyine göre üç kutuya ayrılır: Siyah Kutu (black box — uzman hiçbir iç bilgiye sahip değil, dış saldırganı taklit eder), Beyaz Kutu (white box — kaynak kod/mimari dahil tam bilgi verilir) ve Gri Kutu (gray box — sınırlı bilgi, ör. standart bir kullanıcı hesabı). NEDEN ÖNEMLİ / İŞ YERİNDE Sızma testi, güvenlik açıklarını gerçek bir saldırgan bulup istismar etmeden önce ortaya çıkarır; böylece ihlal riskini, veri kaybını ve itibar zararını azaltır. İş hayatındaki pratik karşılıkları: PCI-DSS (kart verisi işleyen kuruluşlar için düzenli pen test zorunludur), ISO 27001 risk değerlendirmesi, KVKK kapsamında "uygun teknik tedbir" kanıtı ve müşteri/iş ortağı tedarik denetimleri çoğu zaman pen test raporu ister. Ayrıca yeni bir uygulama yayına alınmadan (go-live) önce yapılan pen test, üretim ortamında oluşacak pahalı sürprizleri önler. DİKKAT / İYİ UYGULAMA • Yetki ve kapsam olmadan asla test yapılmaz; sözlü izin yeterli değildir, yazılı Rules of Engagement şarttır. • Pen test bir ANLIK fotoğraftır: testin yapıldığı gün güvenli olan sistem, ertesi gün yeni bir zafiyetle açık hale gelebilir; bu yüzden düzenli aralıklarla ve önemli değişiklik sonrası tekrarlanmalıdır. • Pen test, sürekli izleme (SIEM/SOC), zafiyet yönetimi ve güvenli yazılım geliştirmenin YERİNE geçmez; onları tamamlar. • Üretim (canlı) ortamında test ederken hizmet kesintisi/veri bozulması riskine karşı önlem alınmalı; tercihen ayna ortam kullanılmalı veya yıkıcı testler için ayrıca onay alınmalıdır. • Test bulguları ve toplanan veriler hassastır — rapor şifreli iletilmeli ve yetkisiz kişilerle paylaşılmamalıdır.

📌 Senaryolar

📌 Örnek 1: Bir banka, internet bankacılığı uygulamasını yayına almadan önce dış bir güvenlik firmasından siyah kutu (black box) sızma testi talep eder.
  Açıklama: Pentester'a yalnızca uygulamanın herkese açık adresi verilir, iç bilgi paylaşılmaz — yani gerçek bir dış saldırgan taklit edilir. Uzman, keşif ve tarama sonrası bir giriş formunda SQL injection dener ve örnek bir hesabın bakiyesine yetkisiz erişebildiğini KANITLAR. Bulgu kritik olarak raporlanır, geliştirici parametreli sorgu (prepared statement) ile düzeltir, ardından yeniden test ile açığın kapandığı doğrulanır.

📌 Örnek 2: PCI-DSS kapsamındaki bir e-ticaret şirketi yıllık düzenli sızma testini zamanında yapmaz ve denetimde uygunsuzlukla karşılaşır.
  Açıklama: Kart verisi işleyen kuruluşlar için PCI-DSS düzenli iç ve dış sızma testini zorunlu kılar. Şirket testi atlayınca uyum denetiminden geçemez; üye iş yeri statüsü ve ödeme altyapısı riske girer. Çözüm: yetkili bir test sağlayıcıyla kapsamı belirlemek, testi yaptırıp bulguları kapatmak ve raporu denetim kanıtı olarak saklamaktır.

📌 Örnek 3: Bir SaaS şirketi, müşterilerinden gelen "verimiz sizde güvende mi?" sorularına yanıt olarak gri kutu (gray box) pen test yaptırır.
  Açıklama: Pentester'a standart bir kullanıcı hesabı (sınırlı bilgi) verilir; amaç, normal bir kullanıcının başka müşterilerin verisine geçip geçemeyeceğini (yetki yükseltme / yatay erişim — IDOR) ölçmektir. Uzman, bir API uç noktasında kimlik doğrulamasız nesne referansı (IDOR) bulup başka kiracının kaydına eriştiğini gösterir; şirket erişim kontrolünü sıkılaştırır ve düzeltmeyi re-test ile doğrular.

Özet

• Sızma testi (pen test), açıkları gerçek saldırgandan önce bulmak için yapılan YETKİLİ ve kapsamı yazılı olarak belirlenmiş saldırı simülasyonudur. • Zafiyet taramasından farkı: açığı yalnızca listelemez, GERÇEKTEN istismar edilip edilemeyeceğini ve etkisini kanıtlar. • Tipik akış: kapsam/yetki → keşif → tarama → istismar → istismar sonrası → raporlama → yeniden test; bilgi düzeyine göre siyah/gri/beyaz kutu çeşitleri vardır. • İzinsiz test suçtur; pen test anlık bir fotoğraftır ve düzenli izleme ile zafiyet yönetiminin yerine değil tamamlayıcısıdır (PCI-DSS, ISO 27001, KVKK kanıtı).

✅ Mini-Test (3)

1.Sızma testini (pen test) basit bir zafiyet taramasından (vulnerability scan) ayıran temel fark nedir?

2.Bir sızma testi uzmanına hedef hakkında HİÇBİR iç bilgi verilmeden, dış bir saldırganı taklit etmesi istendiğinde bu test türüne ne ad verilir?

3.Bir sistem üzerinde sahibinin yazılı izni (kapsam/yetki belgesi) olmadan sızma testi yapmak yasal ve etik açıdan kabul edilebilir.

← Tüm sözlük terimleri · Farkındalık eğitimi