Sızma / Penetrasyon Testleri

Sepure metodolojisi kullanılarak yapılan sızma / penetrasyon testleri, imzalanan temel sözleşmeler akabinde, tespit edilen güvenlik açıklarından yararlanarak belirlenen hedeflere sızma denemelerini kapsamaktadır. Uzman ekiplerimiz, testler dahilinde planlı bir dış veya iç saldırgan gibi, tespit edilen hedeflere güvenlik açıklarını ve zaafiyetlerini kullanarak erişmeyi amaçlar. Söz konusu testlerin gerçekleştirilmesi için küresel alanda saygın ve güvenilir yazılımlar ile ekiplerimiz tarafından projeye özel geliştirilmiş yazılımlar da kullanılır.

Bazı durumlarda, testlerin yazılımlar tarafından gerçekleştirilmesine alternatif veya ek olarak siber güvenlik uzmanlarımızın hedef odaklı detaylı incelemeleri ve denetlemeleri de hizmetler kapsamındadır.

Uluslararası Pen Test ve Denetim Standartlarına (OSSTMM, PTES, OWASP, NIST 800-42 vb).uyumlu gerçekleştirilen güvenlik testleri , kurum ve firmaların ISO 27001, PCI-DSS, COBIT, ISO 22301, ITIL vb yasal uyumluluk çalışmalarına da katkı sağlamaktadır.

  • Kablosuz Ağ Testleri
    • Kurumunuza ait gizli ve açık kablosuz ağların tespiti
    • ​Bulunan ağların şifrelerinin tespiti
    • Bulunan ağlara bağlı sistemlerden bilgi toplama
    • Bulunan ağlarda bulunan erişim noktalarının tespiti (AP)
    • Erişim noktasına sızma,
    • Erişim noktası kimlik doğrulama,
    • Kablosuz ağa sızma denetimi,
    • Kablosuz ağ hizmet engelleme (Dos)
    • Sahte erişim noktası denetimi
  • ​​​Yerel Ağ Testleri
    • ​Ağın haritasının çıkarılması
    • Router'arın denetimi,
    • Firewall'ların denetimi,
    • IPS sistemlerinin denetimi,
    • Web sunucularının denetimi,
    • Eposta sunucularının denetimi,
    • DNS sunucularının denetimi,
    • DoS/DDos​​
      • SYN, ACT, FIN, UDP Flood denetimi, (port, kaynak ve hedef ip değiştirilerek ve bölünmüş paketlerle) 

      • TCP connection Flood denetimi, 

      • ICMP, HTTP, DNS Flood denetimi,

      • Botnet Simülasyonu, 

      • Phone2DoS 

    • WPAD testleri 

    • WHOIS ve DNS denetimi, 

    • İlan edilmiş DNS bilgilerinin toplanması, 

    • Kullanılan IP adreslerinin ve etki alanlarının bulunması 

  • Sunucu, Aktif cihaz ve yazılımlarının denetimi 

    • Port ve servis tarama, 

    • OS ve sistem fingerprinting denetimi (version tespitleri) 

    • İnternet ağ geçidi ve internet ağ yönlendirici denetimi, 

    • Sunuculardan alınabilecek bilgilerin denetlenmesi, 

    • Ağ geçitlerinin denetlenmesi, 

    • Ağ geçitleri paket filtreleme kontrolünün denetlenmesi,

    • SMTP denetimi, 

    • Açık e-posta relay denetimi, 

    • Yama eksikliği denetimi, 

    • Yetki ele geçirme testleri, 

    • Exploit testleri, 

  • Web Uygulama Testleri  

    • Kuruma ait web uygulamaların tespit edilmesi, (Application Discovery)

    • Web tarayıcılar, botlar ve örümcek testleri (spiders, robots and Crawlers) 

    • Uygulama girişi noktalarını saptanması, (Identify application entry points) 

    • Uygulama parmak izi testleri, ( Testing for Web Application Fingerprint)

    • Uygulama keşifleri (Application Discovery) 

    • Konfigirasyon Yönetim Testleri ( Configiratinon Managment Testing) 

    • Dosya uzantıları işleme testleri (Testing for file extensions handling) 

    • Oturum Yönetim Testleri (Session Managment Testing) 

      • Oturum yönetim şeması testi 

      • Çerez özellikleri testi 

      • Oturum sabitleme testleri

      • Korunmasız oturum değişkenleri testi 

      • CSRF testi 

  • HTTP metodları ve XST testleri (Testing for HTTP Methods and XST) 

    • Doğrulama testleri  

    • Korumalı kanal üzerinden kimlik bilgisi transferi 

    • Kullanıcı sayım testleri

    • Brute force testleri

    • Kimlik doğrulama mekanizması atlama testleri 

    • Saldırıya açık beni hatırla ve şifre reset testleri 

    • Oturumu kapatma ve tarayıcı önbellek yönetimi testleri 

    • Captcha testi 

    • Birden fazla faktör doğrulama testi 

  • Yetkilendirme Testleri (Authorization testing)

    • Yetkilendirme mekanizması atlama testi 

    • Öncelik yükseltme 

  • Veri sağlaması Testleri (Data Validation Testing) 

    • Yansıyan XSS testi 

    • Kaydedilmiş XSS testi 

    • DOM tabanlı XSS testi

    • CSF testi 

    • SQL enjeksiyon testi 

    • LDAP enjeksiyon testi 

    • ORM enjeksiyon testi 

    • XML enjeksiyon testi 

    • SSI enjeksiyon testi 

    • Xpath Enjeksiyon test 

    • IMAP/SMTP enjeksiyon testi 

    • Kod enjeksiyon testi 

    • Command çalıştırma testi 

    • HTTP Splitting/Smuggling testi