Web uygulamaları sızma testleri (pentest) hem kurum iç ağında hem de diğer bir lokasyonda (DMZ, cloud, veri merkezleri gibi) yer alabilir. Testler sonunda tespit edilen bulgular ve bu bulguların giderilme yöntemleri rapor olarak kurum yöneticilerine sunulur. Günümüz siber saldırıları incelenip analiz edildiğinde, dışarıdan içeriye doğru gerçekleştirilen saldırıların büyük bölümünün web uygulamalarındaki güvenlik açıklıkları kullanılarak gerçekleştirildiğini ortaya çıkarmıştır.
Web application pentest olarak da tanımlanan web uygulamaları sızma testleri genel pentest kavramından farklıdır. Özellikle de kullanılan uygulama ve altyapı teknolojilerinin bilinen açıklık türlerinin ötesinde uygulama mantığına yönelik ve testi yapan kişilerin tecrübelerine göre başarılı olabilir.
Kurumlar birçok yazılım dilini kullanarak web uygulamaları geliştirirler ve genel olarak web uygulaması geliştirme ihtiyaçlarını üçüncü parti firmalar üzerinden sağlarlar.
Arekan Bilgi Teknolojileri olarak kurumların, gerek kendi geliştirdikleri gerekse de üçüncü parti firmalar tarafından geliştirilen web uygulamalarına yönelik uluslararası metadolojik yaklaşımlar kullanarak, sızma testlerini gerçekleştirmekteyiz. Bu test yöntemiyle kurumun içinde yada dış bir ağda yer alan uygulamalara sızma testleri gerçekleştirilerek, girdi noktaları tespit edilip, diğer sistemlere sıçrama testleri ile birlikte testler gerçekleştirilir.
Web uygulamaları doğası gereği birçok sistem ile bağlantılıdır. Web uygulaması üzerinde çıkabilecek bir zafiyet ile saldırganların iç ağ sistemlerinize kadar ilerlemesi mümkündür. Bu nedenle Web uygulamalarının güvenliğinin sağlanması dış ağ ve iç ağ güvenliği için çok önemlidir. Web uygulamaları üzerinde uzman ve global başarılara sahip olan Multi disipliner Arekan Teknoloji Red Team Ekibi, farklı bakış açıları ile güvenlik testlerini gerçekleştirir. Bu testleri gerçekleştirirken kurum ile belirlenen kapsam ile kurumunuza ait web uygulamaları üzerinde global standartlara uygun güvenlik testlerini uygular.
Güvenlik testleri OWASP başta olmak üzere global olarak kabul görmüş standartlara uygun olarak gerçekleştirilmektedir. Ayrıca finans ve bankacılık sektörü için ise BDDK ve SPK uyumlu şekilde, enerji sektörü için EPDK uyumlu olarak web uygulamaları test edilmekte ve raporlanmaktadır.
Ve genel olarak,
Internet Üzerinden Sızma Testleri
Firmanın internete açık servisleri(Mail, DNS, Web, FTP vs) üzerinden sistemlere sızma gerçekleştirilmektedir.
Web Uygulama/Servis Sızma Testleri
Firmaya ait Uygulamalara ve web servislerine yetkili/yetkisiz hesap bilgileri ile giriş yaparak denetimler gerçekleştirilmektedir.Bu adımda otomatik araçlar ve manual/logical denemeler yapılarak , ayrıca optimize şekilde taramalar yapılmaktadır.
Mobil Uygulama Sızma ve Güvenlik Testleri
Android ve iOS işletim sistemi için geliştirilmiş mobil uygulamalara yönelik statik ve dinamik güvenlik testlerini içermektedir. Gerekli durumlarda kaynak kod denetimi de yapılabilir.
İnternet Üzerinden DoS/DdoS ve Performans Testleri
Firmaya ait tüm internet sistemi detaylı analiz edilerek servis dışı bırakma saldırılarının gerçekleştirilmektedir. DDoS testlerinde tespit edilen protokollar ve servislere çok türlü saldırılarda bulunulmaktadır.DDoS testleri 5Mbps-50Gbps bandwith arasında gerçekleştirilebilmektedir.
Yerel Ağ Sızma Testleri
Firmaya ait yerel ağa bağlı herhangi bir server/client ve networke bağlı herhangi bir cihazın güvenlik açısından ne riskler taşıdığını bulup/gösterme amaçlıdır.
VOIP Altyapısı Sızma Testleri
Firmanın kullandığı VOIP sisteminin detaylı analizi yapılarak voip sistemi üzerinden yapılabilecekleri test etmek amaçlıdır.
Kablosuz Ağ Sistemleri Sızma Testleri
Firmanın bulundurduğu kablosuz ağ altyapısının incelenerek dışarıdan gerçekleştirilebilecek sızmalara karşı testlerinin yapılması.
Sosyal Mühendislik/Phishing, Son Kullanıcı Güvenlik Testleri
Firma çalışanlarına ait e-posta hesaplarının internet üzerinden elde edilerek sosyal mühendislik saldırılarının gerçekleştirilerek internet üzerinden firma yerel ağına sızma denetimleri.