Sızma Testi (Pentest) Nedir ? Nasıl Yapılır?

UZAY 52

UZAY 52

Uzman üye
14 Ağu 2021
1,298
10
833
Ddos


logo.png




Selamlar Değerli TURKHACKTEAM Kullanıcıları
Bu konumda Pentest i anlatacağım
Hemen konumuza giriş yapalım

PENTEST NEDİR?

Pentest (sızma testi) hedef sistemlere yada verilere yetki olmadan
erişim sağlamayı amaçlayan bir siber saldırı simülasyonudur
Pentest (Sızma Testi) hedefteki sistem ve uygulamaların varlığının tespit edilmesi,
analizi ve açıklık barındırıp barındırmadıklarının değerlendirilmesi sonrasında
istismar (exploit) edilerek sistem ve verilere yetkisiz erişim sağlanması şeklinde uygulanır.
5aE7rL.png
5aE7rL.png





16_penetrasyon_testi.jpg


Pentest Çalışmalarında Kullanılan Araçlar (Bazıları)

Güvenlik açıklarını tespit edip sömürmek için bazı araçlar kullanılır
gelin şimdi o araçları görelim.

NMAP

NMAP(Network mapper) bir ağ haritalma aracıdır.
Zaten adından da anlaşılıyor.
Hedefte olan sistem hakkında birçok bilgiyi bize sunan bir araçdır.
Ve sızma testi çalışmalarının vazgeçilmeyen bir aracıdır.
Ayrıca NMAP i herhangi bir hedef sistem üzerinde kullanmaya
başladığınız an siber bir saldırıya başlamış olursunuz.
Eğer pentest sertifikanız yoksa geçmiş olsun :)

NMAP ile hedef site veya uygulama üzerinde erişilebilecek bilgilerden
bazıları şunlardır;
Host Keşfi
Port taraması
İşletim Sisteminin Tespit Edilmesi
Reverse DNS Çözümlemesi

Gerçekleştirilen taramalar sonucunda hedef site hakkında
daha net bilgilere sahip olunur
Bu sayede hangi portların açık olduğunu
Güvenlik duvarından hangi paketlerin geçtiğini tespit edebiliriz
ardından da bu bilgileri sömürmek (exploitlemek) amacıyla
popüler bir araç olan Metasploit aracını kullanırız.

1*yJRYlV22fFH22aOp6yw3AA.jpeg



Metasploit Framework Console (msfconsole)

Ruby yazılım dili ile yazılmış olan msfconsole bir güvenlik projesidir.
Msfconsole herhangi bir sistme saldırıp o sistemdeki
zaafiyetleri sömürmeye yarar ve ayrıca site yada uygulama
üzerinde backdoor(arka kapı demek) oluşturup
sisteme erişmeyi de sağlayabilir
Sızma testlerinde kullanılan en önemli ve vazgeçilmez
araçlardan bir tanesidir.

metasploit_photo.png



SQLMAP

Bu aracı herkes biliyordur zaten php sitelerin düşmanı :)
Sqlmap in yazılıp geliştirildiği dil python dur.
Ayrıca sql injection için testerlara yardımı büyük ölçüdedir.
Yaptığı temel işlem seçmiş olduğunuz sitede sizin belirttiğiniz parametrelere
göre kendi içinde bulunan kombinasyonları deneyerek sitede açık arar

sqlmap.jpg



WİRESHARK
Gelelim kablosuz ağ sızma girişimlerinin vazgeçilmez aracına
Wireshark ağ trafiğinin bir grafik arayüzünden izlenmesini
sağlayan oldukça büyük bir öneme sahip araçtır
Uygulamanın kurulu olduğu cihaz üzerinden
anlık trafiğin izlenmesi gibi wireshark daha önceden kaydedilmiş
dosyaların incelenmesine de imkan sağlar

wall.png


BURPSUİTE

Burpsuite bir web uygulamasında güvenlik testlerini
gerçekleştirmeye yarayan bir entegre platformdur
İçerisinde bulunan çeşitli araçları test işlemlerini ,
uygulamanın saldırı arayüzünün analizinden
Güvenlik açıklarını bulup faydalanmaya kadar destek olmak
için çalışır.

burp-enterprise_logo_-_article.png


5aE7rL.png


Konumuzun sonuna geldik
umarım beğenmişsinizdir
buraya kadar okuduğunuz için teşekkürler


ruy73v0.jpg






ovca0xc.gif

 
Son düzenleme:
MuhammedTr768

MuhammedTr768

Kıdemli Üye
7 Kas 2021
2,933
21
1,815
31
MyKrallife
UZAY 52' Alıntı:


logo.png




Selamlar Değerli TURKHACKTEAM Kullanıcıları
Bu konumda Pentest i anlatacağım
Hemen konumuza giriş yapalım
Pentest Nedir ? Pentest Çalışmalarını Kimler Yapabilir ?Pentest (sızma testi) hedefte olan sistem veya verilere yetkisiz Öncelikle şunu bilmeniz gerekiyor. Canınız isteyince olarak erişim sağlamayı hedefleyen bir tür siber saldırı simülasyonudur. herhangi bir siteye sızma girişimi yapamazsınız.
Pentest hedefte olan sistem ve uygulamaların varlığının tespit edilmesi Bunun büyük bir yasal sorumlulukları vardır.
analiz yapılması ve açık bir yer olup olmamasını değerlendirip Kurum ve kuruluşlara sızma testi yapmak için
istismar (exploit) edilerek verilere ve sistemin kendisine herhangi Uzman pentester sertifikanızın olması gerekir
bir yetki olmadan erişim sağlanması şeklinde yapılır. Yani bu işlerle ilgilenenler meslek farketmeksizin yapabilir.
5aE7rL.png
5aE7rL.png





16_penetrasyon_testi.jpg


Pentest Çalışmalarında Kullanılan Araçlar (Bazıları)

Güvenlik açıklarını tespit edip sömürmek için bazı araçlar kullanılır
gelin şimdi o araçları görelim.

NMAP

NMAP(Network mapper) bir ağ haritalma aracıdır.
Zaten adından da anlaşılıyor.
Hedefte olan sistem hakkında birçok bilgiyi bize sunan bir araçdır.
Ve sızma testi çalışmalarının vazgeçilmeyen bir aracıdır.
Ayrıca NMAP i herhangi bir hedef sistem üzerinde kullanmaya
başladığınız an siber bir saldırıya başlamış olursunuz.
Eğer pentest sertifikanız yoksa geçmiş olsun :)

NMAP ile hedef site veya uygulama üzerinde erişilebilecek bilgilerden
bazıları şunlardır;
Host Keşfi
Port taraması
İşletim Sisteminin Tespit Edilmesi
Reverse DNS Çözümlemesi

Gerçekleştirilen taramalar sonucunda hedef site hakkında
daha net bilgilere sahip olunur
Bu sayede hangi portların açık olduğunu
Güvenlik duvarından hangi paketlerin geçtiğini tespit edebiliriz
ardından da bu bilgileri sömürmek (exploitlemek) amacıyla
popüler bir araç olan Metasploit aracını kullanırız.

1*yJRYlV22fFH22aOp6yw3AA.jpeg



Metasploit Framework Console (msfconsole)

Ruby yazılım dili ile yazılmış olan msfconsole bir güvenlik projesidir.
Msfconsole herhangi bir sistme saldırıp o sistemdeki
zaafiyetleri sömürmeye yarar ve ayrıca site yada uygulama
üzerinde backdoor(arka kapı demek) oluşturup
sisteme erişmeyi de sağlayabilir
Sızma testlerinde kullanılan en önemli ve vazgeçilmez
araçlardan bir tanesidir.

metasploit_photo.png



SQLMAP

Bu aracı herkes biliyordur zaten php sitelerin düşmanı :)
Sqlmap in yazılıp geliştirildiği dil python dur.
Ayrıca sql injection için testerlara yardımı büyük ölçüdedir.
Yaptığı temel işlem seçmiş olduğunuz sitede sizin belirttiğiniz parametrelere
göre kendi içinde bulunan kombinasyonları deneyerek sitede açık arar

sqlmap.jpg



WİRESHARK
Gelelim kablosuz ağ sızma girişimlerinin vazgeçilmez aracına
Wireshark ağ trafiğinin bir grafik arayüzünden izlenmesini
sağlayan oldukça büyük bir öneme sahip araçtır
Uygulamanın kurulu olduğu cihaz üzerinden
anlık trafiğin izlenmesi gibi wireshark daha önceden kaydedilmiş
dosyaların incelenmesine de imkan sağlar

wall.png


BURPSUİTE

Burpsuite bir web uygulamasında güvenlik testlerini
gerçekleştirmeye yarayan bir entegre platformdur
İçerisinde bulunan çeşitli araçları test işlemlerini ,
uygulamanın saldırı arayüzünün analizinden
Güvenlik açıklarını bulup faydalanmaya kadar destek olmak
için çalışır.

burp-enterprise_logo_-_article.png


5aE7rL.png


Konumuzun sonuna geldik
umarım beğenmişsinizdir
buraya kadar okuduğunuz için teşekkürler


ruy73v0.jpg






ovca0xc.gif

Genişletmek için tıkla ...
Eline sağlık
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.