Sızma Testi ve Ödül Avcılığı Hizmetleri

Yayınlayan
Adem Kanat
Yayınlanma tarihi
26-02-2022
Okuma süresi
8 DK

Sızma Testi ve Ödül Avcılığı Hizmetleri

Sızma testi, sistemlerin veya uygulamaların zayıf noktalarının tespit edilip neler yapılabileceğinin ortaya çıkarıldığı ve nasıl önlemler alınması gerektiğinin belirlendiği güvenlik araştırmacıları tarafından yapılan test sürecidir.

Test edilen sistem veya uygulamanın ne tür güvenlik açıklarının bulunduğunu belirleyerek, bu açıklıkları kullanarak etkilerinin tespit edildiği bir simülasyondur. Bu süreçte testi yapan firma ile testin yapıldığı firma arasında gizliliğe dayanan bir anlaşma vardır. Bu anlaşma kapsamında güvenlik araştırmacıları sistem üzerinde çeşitli senaryolar deneyerek güvenlik açıklarını araştırmaya başlamaktadır. Araştırma süreci sonrasında testin yapıldığı firmaya sistemlerin zayıf noktalarının ve bu zayıf noktaların nasıl daha güvenli hale getirilebileceği belirtilmektedir. Firma güvenlik zafiyetlerini kapattıktan sonra testi yapan firma tarafından kapatılıp kapatılmadığının kontrol etmesi ile süreç tamamlanmaktadır.

Sürekli Sızma Testi Nedir?

Sızma testleri, bütçe ve zamandan kaynaklı olarak belli zaman aralıklarında yapılmaktadır. Testin yapıldığı firma testin yapılacağından haberdar olduğundan daha temkinli davranmaktadır. Kötü niyetli kişiler ise firmalara herhangi bir zamanda saldırabilir. Bu saldırı sonucunda sistemler ve çalışanlar hazırlıksız yakalanmaktadır. Sürekli sızma testi ile firmalar ve çalışanlarda gerçek bir saldırı karşısında nasıl davranmaları gerektiği konusunda kendilerini geliştirmiş olurlar. Saldırı anında gerçekleştirilecek olan felaket senaryoları önceden görülüp,  süreçlerin olgunlaşması sağlanacaktır. Aynı zamanda yeni geliştirilen bir uygulama, özellik veya sistem bir sonraki sızma testini beklemektense daha önceden test edilmiş olacaktır. Yeni çıkan bir zafiyet envanter takibi ile hızlıca bildirilip önlem alınması sağlanmaktadır.

Ödül Avcılığı Programı (Bug Bounty)

Bir sistem ya da uygulamaya ne kadar çok güvenlik araştırmacısı bakarsa farklı bakış açıları ile farklı zafiyetler çıkartabilmektedir. Ödül avcılığı programlarında ise firmalar bakılması istedikleri uygulamaları belirlerler. Güvenlik araştırmacıları belirlenen uygulamalarda buldukları güvenlik açıkları karşılığında çeşitli ödüller almaktadır. Firmalar uygulamalarına birçok güvenlik araştırmacısı baktığından dolayı daha fazla riskleri görmeleri sağlanmış olur. Güvenlik araştırmacıları ise sistemler üzerinde buldukları açıklıklar sayesinde ödüller kazanmaktadır. İki tür ödül avcılığı programı vardır. Bunlar;

Açık Ödül Avcılığı Programı (Public Bug Bounty)

Sistem ya da uygulamaların isteyen tüm güvenlik araştırmacılarının güvenlik açığı arayabildiği programlardır.

Gizli Ödül Avcılığı Programı (Private Bug Bounty)

Sistem ya da uygulamaların belli güvenlik araştırmacılarına yetki verilerek zafiyet aramaları yapılan ödül avcılığı program türüdür.

Adem Kanat

Diğer Blog Yazıları_

Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Infraskope Server ve Özellikleri
Infraskope Server ve Özellikleri
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kritik Sunucular Üzerindeki Aktivitelerin Loglanması
Kurumlarda Ağ Güvenlik Stratejileri
Kurumlarda Ağ Güvenlik Stratejileri
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
WPA-WPA2 Güvenlik Standartlarına Yönelik Saldırı: KRACK (KEY-REINSTALLATION-ATTACK)
Log Yönetiminde Ajanlı/Ajansız Çözümler
Log Yönetiminde Ajanlı/Ajansız Çözümler
Herkesin aklındaki soru: Yapay Zeka Nedir?
Herkesin aklındaki soru: Yapay Zeka Nedir?
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Discovery of DLL Hijack on Trend Micro AntiVirus+ | CVE-2018-18333
Web Cache Poisoning
Web Cache Poisoning
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
XML EXTERNAL ENTITY INJECTION AND OOB (OUT-OF-BAND) DATA RETRIEVAL
ARP Poisoning
ARP Poisoning
Cross-Site Request Forgery (CSRF) Zafiyeti
Cross-Site Request Forgery (CSRF) Zafiyeti
SSRF (Server Side Request Forgery)
SSRF (Server Side Request Forgery)
BlueBorne
BlueBorne
Server Side Template Injection Nedir?
Server Side Template Injection Nedir?
Linux Restricted Shell Atlatma Teknikleri
Linux Restricted Shell Atlatma Teknikleri
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
Discovery of Sandbox Escape on Comodo Container(Antivirus&Firewall)
SDR-Sharp Kullanımı
SDR-Sharp Kullanımı
Log Yönetimi | Log Management | Veritabanı Log | Siem
Log Yönetimi | Log Management | Veritabanı Log | Siem
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Cyber Kill Chain, Bir Siber Saldırının Yaşam Döngüsü
Phishing Nedir?
Phishing Nedir?
“GOLD” Affix Phishing Attack
“GOLD” Affix Phishing Attack
Sızma Testi ve Ödül Avcılığı Hizmetleri
Sızma Testi ve Ödül Avcılığı Hizmetleri
Güvenilir Olarak CAPTCHA Yapılandırılması
Güvenilir Olarak CAPTCHA Yapılandırılması
Basit Kriptolojiden Günümüze Evrilişi
Basit Kriptolojiden Günümüze Evrilişi
Dosya Sistem Analizinin Önemi
Dosya Sistem Analizinin Önemi
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
HTTP Request Smuggling (HTTP İstek Kaçakcılığı) Nedir?
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
KVKK Kapsamında Veri Keşfi Maskeleme ve Şifreleme
Sosyal Medya Kullanımının Riskleri
Sosyal Medya Kullanımının Riskleri
Sızma (Penetrasyon) Testi Nedir?
Sızma (Penetrasyon) Testi Nedir?
Start Up Kültürü
Start Up Kültürü
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Sigma Kuralları ile SIEM Ürünlerinde Tehdit Avı
Kritik Altyapılar ve SCADA Güvenliği
Kritik Altyapılar ve SCADA Güvenliği
Zararlı Yazılım Analiz Teknikleri
Zararlı Yazılım Analiz Teknikleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Uzaktan Çalışma Modellerinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
Pandemi Sürecinde Siber Güvenlik Riskleri
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
SOC Nedir ve SOC Merkezleri Nasıl Çalışır?
PHISHING Hakkında Her şey
PHISHING Hakkında Her şey
Sosyal Mühendislik Nedir?
Sosyal Mühendislik Nedir?
Siber Hijyen
Siber Hijyen
Adli Bilişim (Digital Forensic) Nedir?
Adli Bilişim (Digital Forensic) Nedir?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
DHCP Spoofing Saldırısı Nedir, Nasıl Yapılır?
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
FAIL2BAN İLE SSH BRUTE FORCE SALDIRILARINI ÖNLEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
BULK EXTRACTOR ARACIYLA DİSK İNCELEME
SolarWinds Vaka Analizi
SolarWinds Vaka Analizi
Frida ile SSL Pinning Bypass
Frida ile SSL Pinning Bypass
COOKİE Nedir? Nasıl Çalışır?
COOKİE Nedir? Nasıl Çalışır?
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Bilgi Güvenliği Test ve Değerlendirmeleri Teknik Kılavuzu
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Dridex Bankacılık Trojanı Teknik Analiz Raporu (TR)
Adwind Rat Technical Analysis Report (ENG)
Adwind Rat Technical Analysis Report (ENG)
SOC Nedir, Firmalar İçin Neden Önemlidir?
SOC Nedir, Firmalar İçin Neden Önemlidir?
Blockchain Nedir?
Blockchain Nedir?
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
İşlemcilerin Koruma Mekanizması ve Koruma Mekanizmasının Atlatılması
Active Directory Güvenlik İpuçları
Active Directory Güvenlik İpuçları
Nisan 2022 Siber Güvenlik Bülteni
Nisan 2022 Siber Güvenlik Bülteni
Mavi Takım Üyeleri İçin Windows Core Process
Mavi Takım Üyeleri İçin Windows Core Process
Kişiler İçin Bilgi Güvenliği Rehberi
Kişiler İçin Bilgi Güvenliği Rehberi
DDoS Nedir?
DDoS Nedir?
C Dilinde Dosya Yönlendirmeleri (IO Redirection)
C Dilinde Dosya Yönlendirmeleri (IO Redirection)