Black Box Sızma Testi: Nedir ve Nasıl Yapılır?
Güncelleme: 30 Ekim 2025 — Dışardan görünen yüzüyle kurumsal altyapınızı değerlendirir; gerçek saldırgan perspektifiyle güvenlik boşluklarını ortaya çıkarır.
1. Black Box Sızma Testi Nedir?
Black Box Sızma Testi, hedef sistemi dışarıdan gören bir saldırgan perspektifiyle gerçekleştirilen penetrasyon testidir. Test ekibine hedefe ilişkin iç bilgi verilmez; yalnızca kamuya açık erişim noktaları, alan adları, IP aralıkları ve açık kaynaklardan toplanan veriler kullanılır.
Bu yaklaşım, dış tehdidin sınırlarını ve kurumun perimetre savunmasının gerçek gücünü değerlendirmek amacıyla tercih edilir.
2. Black Box Testinin Aşamaları
2.1 Hedef Belirleme & OSINT
Alan adları, IP blokları, çalışan profilleri, subdomain’ler ve açık kaynaklı bilgi toplanır. Bu adım, test kapsamının makul ve hedef odaklı olmasını sağlar.
2.2 Keşif & Tarama
Port tarama, servis ve versiyon tespiti, web uygulama keşfi ve içerik toplama gerçekleştirilir. Bu bilgiler zafiyet değerlendirmesinin temelini oluşturur.
2.3 Zafiyet Tespiti
Otomatik taramalar ile bilinen CVE’ler ve konfigürasyon hataları tespit edilir; ardından risk derecelendirmesi yapılır.
2.4 Sızma (Exploit) Denemeleri
Tespit edilen açıkların kontrollü exploit senaryolarıyla doğrulanması ve etkilerinin ölçülmesi gerçekleştirilir.
3. Teknik Yaklaşımlar ve Araçlar
Keşif Araçları
Nmap, Masscan, Amass, Subfinder gibi araçlarla yüzey keşfi yapılır.
Web Uygulama Analizi
Burp Suite, OWASP ZAP, Nikto, Acunetix gibi tarayıcılarla web yüzeyi analiz edilir; parametreler, formlar ve API uç noktaları incelenir.
Zafiyet Taraması
Nessus, OpenVAS, Qualys gibi tarayıcılar ve CVE veri tabanları referans alınır; yanı sıra manuel doğrulama esastır.
Sosyal Mühendislik / OSINT
İlgili olduğunda açık kaynaklı istihbarat ve kimlik tabanlı zafiyetleri tespit etmek için OSINT yöntemleri ve phishing kampanyası simülasyonları uygulanır (yetki ve etik onay çerçevesinde).
4. Exploit, Yetki Yükseltme ve Kalıcılık
Doğrulanan zafiyetler üzerinde kontrollü exploitler uygulanır; amaç, sistem bütünlüğünü bozmadan risk seviyesini göstermek ve mümkünse privilege escalation, lateral movement senaryolarını kanıtlamak ve kalıcılık mekanizmalarının nasıl tespit edildiğini göstermektir.
- Privilege escalation testleri
- Hedefe yönelik post-exploit önlemler (log temizleme vs. yapılmaz; sadece tespit edilir ve raporlanır)
- Veri çıkarma simulasyonları (gerçek veri sızdırılmaz, kanıtlar şifreli/anonimleştirilmiş kanıtlarla sunulur)
5. Raporlama ve Öneriler
Bulgu odaklı, önceliklendirilmiş ve uygulanabilir tavsiyeler içeren ayrıntılı rapor sunulur. Rapor unsurları:
- Kritik/ yüksek/orta/düşük derecelendirme
- Teknik kanıtlar ve PoC açıklaması (zarar verici kod/dosya içermez)
- Önerilen düzeltme adımları ve önceliklendirme
- Uyumluluk notları (ISO 27001, KVKK/GDPR gibi gerekliliklerle ilişkilendirme)
6. Yeniden Test ve Süreklilik
Yapılan düzeltmelerin etkinliğini teyit etmek için yeniden test planlanır. Periyodik test programı, sürekli iyileştirme ve izleme önerilir.
7. Sonuç
Black Box Sızma Testi, kurumunuzun dış dünyaya açık yüzünün sağlamlığını ölçer. Nesil Teknoloji’nin metodolojisiyle, gerçek saldırgan perspektifiyle tespit edilen zafiyetler; önceliklendirilmiş, uygulanabilir ve mevzuata uygun adımlarla kapatılır.
Not: Tüm testler yasal yetki, kapsam onayı ve zarar vermeme ilkesine göre yürütülür.
