Pentest (Sızma Testi) Hizmetleri

BTRisk Metodu

BTRisk ağ ve uygulama pentest hizmet metodlarını en iyi uygulamalar ve edindiği deneyimler doğrultusunda geliştirmiştir. Pentest hizmetlerimiz olası hizmet kesinti riskini en aza indirecek biçimde planlanır, veri bozulmasına yol açabilecek testler kontrollü biçimde gerçekleştirilir. Aşağıda temel adımları belirtilen pentest metodlarımız ilgili teknolojilere uygun ve sağlanan fonksiyonalitenin kötüye kullanımını hedefleyen ek adımlarla desteklenir.

Ağ güvenliği denetim metodumuz temel olarak aşağıdaki adımları içerir:
  • Hedef ağ ve sistemler hakkında bilgi toplama, canlı sistemlerin tespiti.
  • Canlı sistemler üzerinde mevcut servislerin tespiti.
  • Hedef işletim sistemi ve ağ servisleri versiyonlarının analizi.
  • Sistem üzerinde bulunan öntanımlı ve diğer kullanıcı kodlarının analizi.
  • Tespit edilen sistem ve servis versiyonları için mevcut açıklıkların açıklık veritabanlarından
  • Talep edilmesi halinde hafıza bozulmasından kaynaklanan veya veri bütünlüğüne zarar verebilecek türdeki açıklıklar için saldırı kodlarının hedef sistemlere yönelik olarak kullanılması.
  • Talep edilmesi halinde tespit edilen kullanıcı kodları ve/veya öntanımlı kullanıcı kodları için kaba kuvvet parola saldırısının gerçekleştirilmesi.

Web ve mobil uygulama denetim metodumuz temel olarak aşağıdaki adımları içerir:

  • Uygulama fonksiyonalitesinin anlaşılması ve uygulama mimarisinin belirlenmesi.
  • Mobil uygulamalar ve tarayıcıda çalışan istemci uygulamalarının tersine mühendisliğe tabi tutularak bu uygulamalar içinde bulunan girdi ve güvenlik kontrollerinin, kullanılan ve kullanılmayan uygulama fonksiyonlarının tespiti.
  • Tüm uygulama girdi noktalarının belirlenmesi. Bu girdi noktalarına yönelik olarak çeşitli katmanlarda manipülasyona neden olabilecek türde girdilerin gönderilmesi ve uygulama tepkilerinin izlenmesi.
  • Kontrol mantık hatalarını tespit etmeye yönelik manipülasyon testlerinin gerçekleştirilmesi.
  • Uygulama yatay ve dikey erişim kontrollerinin test edilmesi.
  • Yetkisiz oturum erişim testlerinin gerçekleştirilmesi.
  • Uygulama platformunu destekleyen altyapı ve web servislerine yönelik sızma testinin gerçekleştirilmesi.
  • (Backend) içerik tespit taramalarının gerçekleştirilmesi.
  • Uygulama kullanıcı ve parola yönetim fonksiyonalitesi ve süreçlerinin değerlendirilmesi.