Penetrasyon Testi, yapıya içeriden (internal) ya da dışarıdan (external) gelebilecek saldırılar ve sonucunda ne tür verilere ve/veya sistemlere erişilebileceği konusunda fikir edinilmesini sağlar.
Sistemin ve verilerin ne kadar güvende olduğu sorusu spesifik bir sorudur ve cevabı görecelidir. Penetrasyon / Sızma Testi bu sorulara cevap bulunmasına yardımcı olur.
Zafiyet Analizi (Vulnerability Analysis) veya Zafiyet Değerlendirmesi (Vulnerability Assessment), yapı üzerindeki zafiyetlerin derinlemesine analiz çalışması yapılarak tanımlanması, belirlenmesi, ölçülmesi ve önem sırasına göre düzenlenmesidir.
Amaç, süreçlerin akışına zarar verebilecek zafiyetlerin saldırganlardan önce tespit edilip giderilmesi veya kabul edilebilir seviyeye indirgenmesidir.
Sızma Çeşitleri
- Internal Penetration Test: Yapının içeriye açık sistemleri üzerinden hangi verilere ve/veya sistemlere erişilebileceği sorusuna cevap arar.
- External Penetration Test: Yapının dışarıya açık sistemleri üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği sorusuna cevap arar.
- Web Application Penetration Test: ‘External Penetration Test’ ile aynı soruya cevap arar fakat odak noktası web uygulamalarıdır.
Uniscan Uygulama
=>Öncelikle Perl programlama dilini kuruyoruz.
=>Uniscan programını indiriyoruz.
=>Uniscan .rar dosyasından çıkardıktan sonra ‘’uniscan6.2‘’ olan klasör adını ‘’uniscan‘’ olarak değiştiriyoruz.
=>‘’uniscan‘’ dosyamızı kurmuş olduğumuz ‘’perl‘’ dosyasının içine atıyoruz.
=>‘’uniscan‘’ klasörüne girip ‘’uniscan.conf‘’ dosyasını notepad ile açıp içerisindeki
# enable/disable auto-update using git
autoupdate=1
autoupdate=0 olarak değiştiriyoruz.
=>Cmd komut satırını açıyoruz.
=>Komut satırını açtıktan sonra ‘’cd‘’ komutları ile ‘’perl‘’ klasöründeki ‘’uniscan‘’ klasörüne geliyoruz.
=>Komut satırında ‘’uniscan.pl –u www.SiteAdresi.com –qweds‘’
Cmd satırında aşağıdaki gibi bir çıktı gördüğümüzde penetrasyon testimiz başlamış olmaktadır.
#############################
# Uniscan Project
# http://uniscan.sourceforge.net/
#############################
Site adresimizden sonra -qweds parametreleri aşağıdaki testlere karşılık gelmektedir.
Tüm testler bittikten sonra bulunan sistem açıklara ait linkleri ve açıklamalara ilk olarak cmd ekranında görebilmekteyiz. Tüm testler bittikten sonra uniscan klasörü altında report klasörünün altında sitenize ait sonuçları vermektedir.
-h yardım
-u hedefsite: https://www.hedefsite.com/
-f url’lerin listesi
-b Uniscan arkaplana git
-q Yönetim Paneli Kontrolü
-w Dosya Kontrolü
-e /robots.txt Kontrolü
-d Dinamik Testler SQL enjeksiyon, XSS, RFI ve Backup Files
-s Statik Testler
-r Stres Testleri
-i Bing Araması
-o Google Araması
-g Web Sunucusu Bilgisi
-j Sunucu Bilgileri
Penetrasyon testi gerçekleştirmek için temel anlamda bilgileri elde etmiş bulunmaktayız.