Sızma Testi Teknik Gereksinimler Dokümanı: Kapsam, Metodoloji ve Raporlama
Kurumsal ağ, uygulama ve sistemlerin güvenliğini değerlendirmek için yapılan sızma testleri (penetration test), teknik olarak iyi tanımlanmış bir kapsam, metodoloji ve raporlama yapısı gerektirir. Bu doküman; MÜŞTERİ için yürütülecek sızma testlerinde FİRMA’nın uyması beklenen teknik gereksinimleri ve çalışma çerçevesini ortaya koyar.
Aşağıda; sızma testinin amaç ve kapsamı, test türleri, metodoloji adımları, kullanıcı profilleri, erişim noktaları, kablosuz ağ ve VoIP testleri, web uygulama testleri ile bulgu önem dereceleri ve bulgu rapor formatı ayrıntılı olarak açıklanmaktadır.
Bu teknik gereksinimler dokümanı; MÜŞTERİ sistem ve ağ altyapısında gerçekleştirilecek sızma testlerinin kapsamını, metodolojisini, kullanıcı profillerini, erişim noktalarını ve raporlama kriterlerini tanımlar.
Testler; internetten sızma, yerel ağ, kablosuz ağ, VoIP, web uygulamaları ile IT ve kullanıcı bilgisayarlarını kapsar. Bulgular; acil, kritik, yüksek, orta, düşük, bilgi seviyelerinde derecelendirilerek raporlanır.
Kendi sızma testi şartnamenizi oluşturmak veya mevcut şartnamenizi iyileştirmek için bu yapıyı temel alabilir, ek gereksinimleriniz için uzman ekibimizle iletişime geçebilirsiniz.
1. Tanımlar ve Kısaltmalar
Sızma testi teknik gereksinimler dokümanı içerisinde geçen temel kavram ve kısaltmalar aşağıdaki gibidir:
- MÜŞTERİ: Sızma testi hizmetini talep eden ve altyapısı test edilecek kuruluş.
- FİRMA: Sızma testini gerçekleştiren, teklif sahibi siber güvenlik firması.
- DAM (Database Activity Monitoring): Veri tabanı aktivitelerinin izlenmesi.
- DML (Data Manipulation Language): Insert, Delete, Update gibi komutlarla kayıt ekleme, silme ve güncelleme işlemleri.
- DCL (Data Control Language): Grant, Invoke, Revoke komutlarıyla izin ve yetkilendirme işlemleri.
- DDL (Data Definition Language): Create, Drop, Alter komutlarıyla veritabanı nesnelerinin oluşturulması, değiştirilmesi ve silinmesi.
- DQL (Data Query Language): Select komutu ile veri sorgulama ve listeleme.
- GRANT: Kullanıcılara veritabanı nesneleri üzerinde güvenlik ayrıcalıkları vermek için kullanılan komut.
- REVOKE: GRANT ile verilen hakların geri alınması için kullanılan komut.
Bu tanımlar, özellikle veritabanı güvenliği ve yetkilendirme testlerinde kullanılan terimlerin ortak bir çerçevede anlaşılmasını sağlar.
2. Amaç ve Kapsam
İşbu şartname ile MÜŞTERİ’nin ihtiyaç duyduğu sızma güvenlik testi (penetration test) hizmetinin sağlanması hedeflenmektedir. Alınacak hizmetin detayları bu teknik gereksinimler dokümanında açıklanmıştır.
FİRMA, denetimi yaparken işbu şartnamede belirtilen yöntemleri ve güncel teknikleri kullanacak; testlerde kullanılacak tüm donanım ve lisanslar FİRMA tarafından sağlanacaktır.
Doküman kapsamında gerçekleştirilecek denetim türleri şunlardır:
- İnternetten Sızma Testleri
- Yerel Ağ İçerisinden Sızma Testi
- Kablosuz Ağ Sızma Testi
- VoIP Sızma Testi
- Web Servis / Web Uygulama Sızma Testi
- IT ve Kullanıcı Bilgisayarlarına Sızma Testi
İşbu şartnamede belirtilen şekilde çalışması için gerekli olan, ancak teklifte ayrıca belirtilmeyen 3. parti donanım ve sistem yazılımları ile ürüne özel zorunlu 3. parti yazılımlar da FİRMA tarafından ilave bedel talep edilmeksizin temin edilecektir.
3. Genel Özellikler ve Metodoloji
Genel sızma testleri kapsamında değerlendirilecek varlıklar bileşen bazlı ele alınır. İzlenecek yöntemler, yapılacak çalışmanın tipinden bağımsız olarak belli ana adımlarda benzerlik gösterir ve tüm sızma testleri temel olarak aşağıdaki fazlarda gerçekleştirilir:
- Keşif çalışması (ağ topolojisi ve hedeflerin belirlenmesi)
- Otomatik tarama aşaması
- Manuel (elle) doğrulama ve istismar denemeleri
- Kalite kontrol ve raporlama
- Doğrulama (remediation sonrası kontrol) aşaması
İlk aşamada; tarama araçları yardımıyla ağ topolojisi çıkarılır, hedef sistemlerin işletim sistemleri, portlar ve bu portlarda çalışan servisler belirlenir. Elde edilen bilgilere göre bileşenler güvenlik tarama araçlarıyla taranır, çıkan sonuçlar false positive riskine karşı elle incelenir ve gerekiyorsa istismar kodları uyarlanarak test edilir.
FİRMA, güvenlik testlerini gerçekleştirecek personel listesini, deneyimlerini ve sahip oldukları sertifikaları (örneğin CEH) MÜŞTERİ’ye sunar ve kendi çalışanı olmayan uzmanları sızma testlerinde kullanmaz.
Sadece otomatik güvenlik tarama araçlarına dayalı testler teknik olarak yeterli sayılmayacak; tarama sonuçları mutlaka manuel testlerle desteklenecektir.
Denetim raporu; tespit edilen zafiyetleri, risk düzeylerini, olası etkileri ve iyileştirici önerileri sözlü açıklamaya ihtiyaç bırakmayacak kadar açık ve detaylı biçimde içerecektir. Bulgular; IP/sunucu ve bulgu bazında gruplanacak, ayrıca yönetici özeti ve yatırım/iyileştirme önerileri de yer alacaktır.
4. Sızma Testi Türleri, Kullanıcı Profilleri ve Erişim Noktaları
4.1 Kullanıcı Profilleri
Sızma testleri aşağıda tanımlanan kullanıcı profilleri üzerinden gerçekleştirilecektir:
- Anonim kullanıcı profili: İnternet üzerinden MÜŞTERİ’nin web servislerine erişebilen ancak web uygulamalarına giriş yetkisine sahip olmayan kullanıcıyı temsil eder.
- MÜŞTERİ misafiri profili: MÜŞTERİ kablosuz ağı (misafir ağı) üzerinden sisteme erişen kullanıcıları temsil eder.
- MÜŞTERİ çalışanı profili: MÜŞTERİ personelinin çalışma ortamı ve sahip olduğu yetkiler ile sistemde oluşturabileceği tehditlerin test edilmesi amacıyla kullanılır. En yaygın çalışan profili yanında, local admin yetkisine sahip profillerle de test yapılır.
- Diğer kullanıcı profilleri: Yukarıdaki profillere uymayan senaryolar için, profil ve yetkiler dokümanda ayrıca tanımlanır.
4.2 Erişim Noktaları
Sızma testleri en az aşağıdaki erişim noktaları üzerinden gerçekleştirilecektir:
- Internet: MÜŞTERİ’nin internet üzerinden erişilebilen tüm sunucu ve servislerine erişilerek dış ağ sızma testleri yürütülür.
- MÜŞTERİ iç ağı: İç ağda yer alan ve kapsam dahilindeki sunuculara erişilerek iç ağ ve ağ trafiği üzerindeki zafiyetler test edilir. Testi gerçekleştirecek personele, en yaygın kullanılan çalışan bilgisayarı profiline sahip cihazlar sağlanır.
4.3 Hizmet Sürekliliği ve Sorumluluklar
- Hizmet kesintisine yol açabilecek testler, MÜŞTERİ ile koordineli ve kontrollü şekilde planlanır.
- FİRMA, Denial of Service vb. saldırıları bilinçli ve kontrol dışı şekilde gerçekleştirmez.
- Beklenmedik hizmet kesintisi yaşanması halinde MÜŞTERİ derhal bilgilendirilir.
- FİRMA, sistemi uzaktan kumanda etse dahi MÜŞTERİ verilerini (dosya, veritabanı vb.) okumayacak, kopyalamayacak ve değiştirmeyecektir.
- FİRMA, testler ve çıktıları hakkında üçüncü kişilerle bilgi paylaşmayacak, gizlilik taahhütnamesi imzalayacaktır.
5. Kablosuz Ağ, VoIP ve Video Streaming Testleri
5.1 Kablosuz Ağ Sızma Testi
FİRMA, MÜŞTERİ Wireless LAN X.X.X.X /24 IP bloğu üzerinden sızma testi gerçekleştirecek; hedef sisteme ait SSID ve gizli SSID’leri tespit edecek, kullanılan şifreleme yöntemlerini belirleyerek aşağıdaki kontrolleri yapacaktır:
- Kablosuz ağa bağlı cihazların ve IP aralıklarının belirlenmesi, MAC adreslerinden cihaz tipi ve işletim sistemi keşfi,
- Access Point yönetim arayüzü ve kimlik doğrulama denetimleri,
- MAC filtreleme ve Hotspot atlatma testleri, DNS tünelleme ve authentication token hijacking,
- Client isolation mode, MITM saldırıları, fake upgrade ile istemcileri ele geçirme,
- WEP/WPA/WPA2 anahtarını elde etme girişimleri, Aircrack-ng, rainbow table ve wordlist kullanımı,
- WPS PIN testleri, WPA anahtarının WPS üzerinden kırılması,
- De-authentication ve de-associate saldırıları, rogue access point tespiti.
Ayrıca MÜŞTERİ Wireless Ziyaretçi Networkü üzerinden kimlik bilgisi girmeden veya sosyal mühendislik ile erişim testleri yapılacak; ziyaretçi ağından MÜŞTERİ ağlarına erişim olup olmadığı denetlenecektir.
5.2 Kablosuz Ağ Üzerindeki Atak Kategorileri
Access control attacks
- War Driving
- Rogue Access Points
- Ad Hoc Associations
- MAC Spoofing
- 802.1X Radius Cracking
Confidentiality attacks
- Eavesdropping
- WEP Key Cracking
- Evil Twin AP
- AP Phishing
- Man in the Middle
Integrity attacks
- 802.11 Frame Injection
- 802.11 Data Replay
- 802.1X EAP Replay
- 802.1X RADIUS Replay
Authentication attacks
- Shared Key Guessing
- PSK Cracking
- Application Login Theft
- Domain Login Cracking
- VPN Login Cracking
- 802.1X Identity Theft / Password Guessing / LEAP Cracking / EAP Downgrade
Availability attacks
- AP Theft
- Queensland DoS
- 802.11 Beacon / Associate / Authenticate Flood
- 802.11 TKIP MIC Exploit / Deauthenticate Flood
- 802.1X EAP-Start / EAP-Failure / EAP-of-Death / EAP Length Attacks
5.3 VoIP ve Video Streaming Testleri
Karmaşık ağlarda VoIP altyapısı analiz edilecek; VoIP çalışan sistemler ve kullanılan yazılımlar/protokoller tespit edilerek aşağıdaki çalışmalar yürütülecektir:
- Paket dinlemesi ile VoIP trafiği yakalanması ve analiz edilmesi (ses/görüntü analizi),
- VoIP kimlik doğrulama ve yetkilendirme altyapısı zafiyet analizi,
- Media gateway, session border controller (SBC) gibi bileşenlerin incelenmesi,
- Video streaming altyapısı, TCP/IP protokolleri, multicast ve şifreleme analizleri,
- Video streaming donanımlarının performans testleri ve binary analiz,
- SIP enumeration (register, options, invite) ve VoIP wardialing, online SIP servislerinin incelenmesi.
6. Web Servis / Web Uygulama Sızma Testleri
FİRMA, MÜŞTERİ’ye ait aşağıdaki örnek web uygulamalarına (ve MÜŞTERİ tarafından bildirilecek diğer adreslere) sızma testi gerçekleştirecektir:
- MUSTERI.com.tr
- xrm.MUSTERI.com.tr
- blog.MUSTERI.com
- payrest.MUSTERI.com
- …MUSTERI.com.tr
Web sayfaları; HTTP protokolü ve uygulama katmanı güvenliği açısından, anonim kullanıcı ve tanımlı kullanıcı hesapları ile test edilecek; hesap bilgileri MÜŞTERİ tarafından FİRMA’ya sağlanacaktır.
6.1 Keşif ve Statik Tarama Aşaması
- Web uygulamasının çalıştığı portların belirlenmesi,
- Aynı sunucu üzerinde çalışan diğer sitelerin tespiti,
- Web sunucu sürüm bilgilerinin ve SSL sertifika bilgilerinin çıkarılması,
- Statik/dinamik sayfaların ve site haritasının oluşturulması,
- Bilinen güvenlik açıklarının, dizin erişim haklarının, dizin listeleme ve dizin atlatma problemlerinin tespiti,
- Sunucu yapılandırma hataları, default sayfalar, yedek/kopya/test sayfaları ve zararlı metotların kontrolü,
- WEBDAV, CGI problemleri ve kullanılan framework’e özgü zafiyetlerin incelenmesi.
6.2 Dinamik Tarama ve Mantıksal İş Akış Testleri
Dinamik aşamada, web uygulaması ve sunucu üzerinde aşağıdaki kontroller yapılacaktır:
- Bilgi açığa çıkması, girdi/çıktı denetimleri, HTTP header kontrolleri,
- DoS kontrolleri, CAPTCHA testleri, parametre ve kimlik doğrulama kontrolleri,
- Veri iletim katmanı güvenliği, oturum yönetimi ve yetkilendirme testleri,
- XSS (reflected, stored, DOM), CSRF, clickjacking, komut enjeksiyonu,
- SQL/LDAP/XPath/OS command enjeksiyon testleri,
- Dosya yükleme, spoofing, HTTP response splitting/injection,
- XML/Web servis, dizin atlatma, local/remote file inclusion,
- Flash/Flex uygulamaları ve web servis güvenliği kontrolleri.
Mantıksal iş akışı kapsamında; yetki aşımı, yetkisiz erişim, istemci tarafı limitlerin aşılması, fiyat/indirim manipülasyonu, replay/repetition saldırıları, çok adımlı süreçlerin atlatılması gibi kontroller yapılacaktır.
6.3 Manuel Kontrol, Kalite Kontrol ve Doğrulama
- Tarama çıktılarındaki hatalı sonuçların ayıklanması,
- Stored/second-order zafiyetlerin tespiti,
- Sunucuyu ele geçirmeye yönelik testler ve veritabanına erişim,
- Ele geçirilen sunucu üzerinden yatay/dikey hareket (lateral movement) testleri,
- Raporlanan zafiyetlerin MÜŞTERİ tarafından kapatılmasından sonra doğrulama kontrolü.
7. IT ve Kullanıcı Bilgisayarları Güvenlik Testleri
FİRMA, MÜŞTERİ yerel ağda bulunan 10.34.209.0/24 IP bloğu üzerinde, normal kullanıcı bilgisayarları ve yönetici hesapları dahil olmak üzere sızma testleri gerçekleştirecektir.
- Yerel yönetici (local admin) kullanımındaki zafiyetler ve hak yükseltme saldırıları,
- Yama yönetimindeki eksiklikler, desteği kaldırılmış eski sistemler ve bu sistemler üzerinden uzaktan kod çalıştırma,
- Yetkisiz dosya paylaşımlarının tespiti ve bu paylaşımlar üzerinden hak yükseltme denemeleri,
- Domain/etki alanı yöneticisi hesap ve gruplarının kötüye kullanılmasına yönelik hak yükseltme saldırıları,
- Elde edilen kimlik bilgileri ve haklarla hassas sunuculara ve kullanıcı bilgisayarlarına erişim denemeleri.
Bu kapsamda elde edilen tüm bulgular; hem teknik ekiplere hem de yönetime yönelik açıklamalarla birlikte raporlanacak, gerekli sıkılaştırma önerileri ile desteklenecektir.
8. Bulgu Önem Dereceleri
Bulgu önem dereceleri beş temel kategoride ele alınır: Acil, Kritik, Yüksek, Orta, Düşük. Güvenlik tehdidi oluşturmayan ancak iyileştirme önerisi içeren hususlar ise Bilgi seviyesi altında gruplanabilir.
| Önem Derecesi | Açıklama |
|---|---|
| Acil | Niteliksiz saldırgan tarafından MÜŞTERİ dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan açıklıklar. |
| Kritik | Nitelikli saldırgan tarafından MÜŞTERİ dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan açıklıklar. |
| Yüksek | MÜŞTERİ dış ağından gerçekleştirilen ve kısıtlı hak yükseltilmesi veya hizmet dışı kalma ile sonuçlanan; yerel ağdan/sunucudan gerçekleştirildiğinde hak yükseltmeyi sağlayan açıklıklar. |
| Orta | Yerel ağdan veya sunucu üzerinden gerçekleştirilen ve hizmet dışı kalma ile sonuçlanan açıklıklar. |
| Düşük | Etkileri tam belirlenememiş, literatürdeki en iyi sıkılaştırma yöntemlerinin uygulanmamasından kaynaklanan eksiklikler. |
Tablo-1: Bulgu Önem Dereceleri ve Açıklamaları
9. Bulgu Rapor Formatı
Kapsam bölümünde belirtilen başlıkların her biri altında raporlanacak bulguların sunuluş biçimi standardize edilmiştir. Aşağıdaki tablo, her bir bulgu için raporda bulunması gereken alanları göstermektedir:
| Bulgu Referans No | Rapordaki her bulguyu tekil olarak niteleyen harf/rakam dizisi (örn. WEB-001, NET-003). |
| Bulgu Adı | Bulguyu özetleyen tanımlayıcı isim (örn. “X Uygulamasında SQL Enjeksiyon Zafiyeti”). |
| Önem Derecesi | Bulgunun zafiyet kritik düzeyi (Acil, Kritik, Yüksek, Orta, Düşük, Bilgi). |
| Etkisi | Zafiyetin kötüye kullanılması durumunda oluşabilecek potansiyel sonuç (yetki yükseltme, veri sızıntısı, hizmet kesintisi vb.). |
| Erişim Noktası | “Genel ve Proje Bazlı Sızma Testi” bölümünde belirtilen; Internet, iç ağ, kablosuz ağ vb. erişim noktası. |
| Kullanıcı Profili | Anonim kullanıcı, MÜŞTERİ misafiri, MÜŞTERİ çalışanı vb. profillerden hangisi ile tespit edildiği. |
| Bulgunun Tespit Edildiği Bileşen(ler) | IP adresi, URL, Sistem/Sunucu adı, servis adı veya varlık bilgisi. |
| Bulgu Açıklaması | Zafiyetin teknik detayı, istismar şartları, örnek senaryolar ve tespit yöntemi. |
| Çözüm Önerisi | Zafiyetin giderilmesi için önerilen konfigürasyon, yama, geliştirme veya süreçsel iyileştirme adımları. |
Tablo-2: Bulgu Rapor Formatı
10. Sık Sorulan Sorular
10.1 Bu doküman bir sızma testi sözleşmesi yerine geçer mi?
Hayır. Bu doküman, teknik gereksinimler ve metodoloji çerçevesini tanımlar. Sözleşme; hukuki hükümler, fiyatlandırma, süreler ve sorumlulukları içeren ayrı bir metin olarak düzenlenmelidir.
10.2 Test sırasında üretim sistemleri durdurulur mu?
Genel ilke, üretim sistemlerinde hizmet kesintisine neden olmamaktır. Hizmet kesintisi riski taşıyan testler, MÜŞTERİ ile koordinasyon içinde, kontrollü ve planlı şekilde yürütülür.
10.3 FİRMA, test sırasında elde ettiği verileri saklayabilir mi?
Hayır. FİRMA, testler kapsamında elde ettiği tüm verilerin gizliliğini sağlamakla yükümlüdür ve gizlilik taahhütnamesi imzalamadan işe başlamamalıdır. Veriler, test sonrasında MÜŞTERİ’nin talimatlarına uygun şekilde imha edilmelidir.
10.4 Test tekrarı FİRMA’nın sorumluluğunda mıdır?
Tespit edilen bulguların kapatılmasından MÜŞTERİ sorumludur. FİRMA, dokümanda aksi belirtilmedikçe testleri tekrar etmekle yükümlü değildir; ancak danışmanlık kapsamında yeniden test veya doğrulama talep edilebilir.
10.5 Hangi standartlara uyum gözetilir?
Gerçekleştirilen testler; HIPAA, Sarbanes–Oxley, PCI DSS, ISO 27001 gibi uluslararası bilgi güvenliği standartları ile uyumlu metodolojiler esas alınarak yürütülür.
10.6 Rapor formatı özelleştirilebilir mi?
Evet. Temel bulgu formatı korunmak kaydıyla, MÜŞTERİ’nin iç raporlama süreçlerine uyumlu olacak şekilde rapor düzeni ve detay seviyesi özelleştirilebilir.
