Sızma Testi Şartnamesi

SIZMA TESTİ

TEKNİK GEREKSİNİMLER DOKÜMANI

TANIMLAR VE KISALTMALAR

MÜŞTERİ	:	SIZMA TESTİ YAPTIRAN KURULUŞ BİLGİSİ
FİRMA	:	Teklif sahibi FİRMA
DAM	:	Database Activity Monitoring – Veri Tabanı İzleme
DML	:	Data Manipulation Language – ( DML ) – Veri İşleme Dili : Insert, Delete , Update gibi komutlarla oluşturulan ifadeler, kayıt ekleme, silme ve güncelleme işlemleri için kullanılır.
DCL	:	Data Control Language – (DCL) – Veri Kontrol Dili: Grant, Invoke, Revoke komutları izin ve yetkilendirme işleri için kullanılır.
DDL	:	Data Defination Language – ( DDL ) – Veri Tanımlama Dili: Create, Drop ve Alter komutlarından oluşan DDL, veritabanı nesnelerini oluşturma, değiştirme ve silme işlemleri için kullanılır.
DQL	:	Data Query Language – (DQL) – Veri Sorgulama Dili: Select komutu ile oluşturulan ifadeler, verilen listelenmesi için kullanılır.
GRANT	:	Kullanıcılara veritabanı nesneleri üzerinde güvenlik ayrıcalıkları vermek için kullanılan komuttur.
REVOKE	:	GRANT ile değiştirdiğimiz hakları eski haline döndürmek için kullanılır.

• AMAÇ ve KAPSAM

İşbu şartname ile MÜŞTERİ ‘ın ihtiyacı olan sızma güvenlik test (penetration test) hizmetinin  temin edilmesi hedeflenmektedir. Alınacak hizmetin detayları işbu şartnamede belirtilmiştir. FİRMA, denetimi yaparken işbu şartnamede belirtilen yöntemleri ve yeni teknikleri kullanacaktır.

Bu hizmet için kullanılacak tüm donanım ve lisanslar FİRMA tarafından sağlanacaktır.

İşbu şartname dahilinde yapılacak denetim türleri şunlardır:

Denetim Türü

İnternetten Sızma Testleri

Yerel ağ içerisinden Sızma Testi

Kablosuz Ağ Sızma Testi

VoIP Sızma Testi

Web Servis / Web Uygulama Sızma Testi

IT ve Kullanıcı Bilgisayarlarına Sızma Testi

İşbu şartnamede belirtilen özellikler, teklif edilecek hizmet ile ilgili olup, işbu şartnamede belirtilen şekilde çalışması için gerekli olan, ancak teklifte belirtilmeyen 3.parti donanım ve sistem yazılımları (Microsoft sistem yazılımları vb.) ile ürüne özel olan kullanılması zorunlu olan 3.parti yazılımlar FİRMA tarafından bilâbedel karşılanacaktır.

GENEL ÖZELLİKLER Genel sızma testleri kapsamında değerlendirilecek varlıklar bileşen bazlı ele alınacaktır.Sızma testleri esnasında izlenecek yöntemler yapılacak çalışmanın tipinden bağımsız olarak genel hatları ile benzerlik taşımaktadır. Tüm sızma testleri temel olarak aşağıdaki adımlarda gerçekleştirilecek ve servis tipine göre detayları metodoloji bölümünde anlatıldığı şekilde yapılacaktır.

• Keşif çalışması
• Otomatik tarama aşaması
• Manuel (elle) kontrol aşaması
• Kalite kontrol ve raporlama
• Doğrulama aşaması
  • Genel hatları ile sızma testlerinde ilk olarak tarama araçları yardımıyla ağ topolojisi ortaya çıkarılmaya çalışılacak ve hedefler hakkında bilgi toplanacaktır. Toplanacak bu bilgiler sunucuların işletim sistemi bilgileri ve üzerinde çalıştığı portlar ile bu portlarda çalışan servislerdir.
  • Elde edilen bilgiler doğrultusunda bileşenler güvenlik tarayıcı araçları ile taranacaktır. Ancak bu araçların birçok yanlış alarm (false positives) verebileceği göz önünde bulundurularak, tespit edilen açıklıklar detaylı olarak incelenecektir.
  • Bu açıklıkları kullanabilecek program kodları araştırılacak ve eğer mümkünse bulunan kodlar sisteme göre değiştirilerek denenecektir.
  • FİRMA, güvenlik testlerini gerçekleştirecek personel listesini, personelin deneyimini ve sahip olduğu sertifikaları belirtecektir. Bu testlerde kendi çalışanı olmayan bir uzmanı kullanamayacaktır.
  • Denetimi yapacak personel daha önce Pen tester olarak çalışmış, CEH sertifikasına sahip kişiler olacaktır.
  • Sadece otomatik güvenlik tarama yazılım araçlarıyla gerçekleştirilen, otomatik ve bir yazılıma dayalı güvenlik tarama işlemleri teknik olarak yeterli sayılmayacaktır.
  • Teste tabi tutulacak cihazların; işletim sistemi, ağ protokolü, üzerinde çalışan servisler, bu servislere yönelik güvenlik açıkları tespit edilerek raporlanacaktır.
  • Bulgular, EK-1’de yer verilen bulgu önem dereceleri kullanılarak EK-2’de yer verilen bulgu formatına uygun olacak şekilde sunulacaktır. Ayrıca güvenlik denetimi esnasında kullanılan otomatik tarama araçları listesi ve açıklamaları EK-3 olarak sunulacaktır.
  • Denetim raporu yeterince açık ve sözlü açıklamaya gerek bırakmayacak biçimde net olmalıdır. Sonuçlar; iyileştirici öneriler, anlaşılır bir anlatım ile açığın giderilmesi konusunda yapılması gerekenler ile birlikte detaylı ve gizli bir rapor ile MÜŞTERİ ‘a iletilecektir. Denetim raporu en az şu konuları kapsayacaktır:
• Tespit edilen zafiyetler
• Zafiyetlerin risk düzeyleri (acil, kritik, yüksek, orta, düşük, bilgi)
• Zafiyetlerin gerçekleşmesi durumunda oluşabilecek zararların ölçekleri
• Zafiyetlerin giderilmesine ilişkin öneriler
  • Denetim raporunda bulgular IP/sunucu ve bulgu bazında farklı olarak gruplanacak, içeriğinde yönetici özeti bölümü bulunacaktır.
  • Denetim raporunda bulgular ayrı ayrı değerlendirmenin yanında, bir araya geldiklerinde oluşturabilecekleri riskler ve açıklıklar açısından da değerlendirilecek ve bu birlikte değerlendirme sonucu ortaya çıkan yeni açıklık ve bulgular da rapora eklenecektir.
  • Denetim raporunda öncelik sırasına göre MÜŞTERİ ‘ın yakın, orta ve ileri vadede yapması tavsiye edilen iyileştirme ve yatırım faaliyetleri belirtilecektir.
  • Denetim raporu, güvenlik testi çalışmasının tamamlanmasını izleyen 10 (on) iş günü içerisinde MÜŞTERİ ‘a teslim edilecek ve takip eden 5 (beş) iş günü içerisinde MÜŞTERİ tarafından uygun görülecek zamanda mutabakat toplantısı ve sunumunu gerçekleştirecektir.
  • Güvenlik testleri sırasında belirlenen kritik risk taşıyan problemler raporun tamamlanması beklenmeden MÜŞTERİ ‘a bildirilecektir.
  • Denetim raporu güvenli elektronik imza ile imzalanıp, şifrelenerek teslim edilecektir. Şifre telefon ile MÜŞTERİ ‘a bildirilecektir.
  • Denetim çalışması süresince siber güvenliği sağlamak için kullanılan cihazlar ve uygulamalar (güvenlik duvarları, içerik filtreleri, saldırı tespit sistemleri vb.) olağan biçimde çalıştırmaya devam edecek; FİRMA ’nın işini kolaylaştıracak ya da zorlaştıracak herhangi bir yeni düzenleme yapmayacaktır.
  • Gerçekleştirilecek çalışmalarda hizmet kesintisine yol açabilecek herhangi bir kontrol yapılmayacaktır. Testler sunucu veya uygulamalar üzerinde en az yük oluşturacak ve servis dışı kalmasına mahal vermeyecek şekilde gerçekleştirilecektir.
  • FİRMA, denetim çalışması kapsamında MÜŞTERİ hizmetlerine bilinçli olarak hizmet kesintisi (Denial of Service vb.) saldırıları gerçekleştirilmeyecektir. Hizmet kesintisine yol açabilecek tüm testler MÜŞTERİ ile koordineli bir şekilde planlanarak gerçekleştirilecektir.
  • Dış penetrasyon testi FİRMA tarafından belirlenen ve MÜŞTERİ tarafından onaylanan IP adreslerine, mutabık kalınan tarih ve zamanlarda atak yapılması şeklinde gerçekleştirilecektir.
  • Firma test sırasında MÜŞTERİ’nın sunucularını durduracak, işlemesini engelleyecek atakları gerçekleştirmeyecektir.
  • Firma istenmeden neden olunabilecek hizmet kesintileri durumunda MÜŞTERİ’ı en kısa sürede detayları sözleşme aşamasında belirlenecek kanallar aracılığı ile bilgilendirecektir.
  • Denetim kapsamında gerçekleştirilecek saldırı simülasyonları yalnızca saldırıların gerçekleştirilebirliğini göstermek amacıyla düzenlenecektir. Firma sızmayı, diğer bir deyişle uzaktan kumanda etmeyi, başardığı durumda MÜŞTERİ’nın sistemleri üzerinde yer alan hiçbir veriyi (dosya, veritabanı vb.) okumayacak, kopyalamayacak ve değiştirmeyecektir. Aykırı durumların tespiti, MÜŞTERİ tarafından sözleşmenin ihlali olarak değerlendirilecektir.
  • FİRMA, hiçbir şekilde sistem ve bilgi güvenliği altyapısı, güvenlik testleri kapsamında yapılan çalışmalar ve sonuçları hakkında üçüncü kişilere bilgi vermeyecek, referans göstermeyecektir.
  • FİRMA, elde edilen bilgilerin, matbu/elektronik belgelerin gizliliği, saklanması ve güvenliği konusunda gerekli önlemleri alacak, MÜŞTERİ ile gizlilik taahhütnamesi imzalanacaktır.
  • MÜŞTERİ proje bazlı sızma testi kapsamında, farklı sistemlere talep edilen günlerde test yaptırma hakkına sahiptir.
  • Genel sızma testi aşağıda detaylandırılan kullanıcı profilleri ile tanımlanan erişim noktalarından gerçekleştirilecek detaylı sızma testlerinden oluşacaktır.
  • Sızma testleri sistem tespiti, servis tespiti ve açıklık taraması adımları ile başlayacak ve her bir erişim noktası kapsamında uygulanacak adımlar ile devam edecektir.
  • Sızma testleri sonrası saptanan açıklık ve bulgular, yapılacak testler bölümünde belirtilen ve ilişkili olduğu her bir başlık altında, detaylı sızma testlerinin gerçekleştirilmesi suretiyle ayrıntılı olarak incelenerek raporlanacaktır.
  • Genel sızma testi kapsamında uygulanacak metodoloji(ler) MÜŞTERİ ‘a önceden bildirilecektir.
  • Açık kaynak ve ticari tarama araçları ile tespit edilen bulgular, yanlış alarma (false positives) sebebiyet verebileceği için manuel olarak da kontrol edilecektir.
  • Taslak raporda MÜŞTERİ teknik ekipleri tarafından itiraz edilen bulguları değerlendirmek için sızma testlerini gerçekleştiren FİRMA personeli, MÜŞTERİ teknik personeli ile mutabık kalınan zamanda bir araya gelecektir.
  • Tespit edilen bulguların kapatılmasından MÜŞTERİ sorumlu olduğundan, FİRMA testleri tekrarlamayacaktır. Ancak danışmanlık hizmeti kapsamında bulguların nasıl kapatılacağı konusunda destek alınabilecektir.
  • Sızma testleri esnasında FİRMA saldırıları MÜŞTERİ tarafından tespit edilirse, FİRMA daha dikkatli olması konusunda uyarılacaktır.
  • Sızma testlerinin gerçekleştirileceği kullanıcı profilleri:
• Anonim kullanıcı profili: Internet üzerinden, MÜŞTERİ ‘ın web servislerine erişebilen ancak web uygulamalarına giriş yetkilerine sahip olmayan kullanıcıyı temsil eder.
• MÜŞTERİ misafiri profili: MÜŞTERİ kablosuz ağı üzerinden test edilecektir.
• MÜŞTERİ çalışanı profili: MÜŞTERİ personelinin çalışma ortamını kullanarak sahip olduğu yetkiler ile sistemde oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır. MÜŞTERİ çalışanı profili ile gerçekleştirilecek testlerde, MÜŞTERİ çapında en yaygın olarak kullanılan çalışan profilinin seçilmesinin yanında, yerel yönetici (local admin) yetkisine sahip çalışan profilleri ile de sızma testleri gerçekleştirilir.
• Diğer kullanıcı profilleri: Sızma testlerinin yukarıda tanımlanan diğer üç kullanıcı profiline uymayan bir kullanıcı profili ile gerçekleştirilmesi durumunda, kullanılan her bir profil için tanımlanan hak ve yetkiler bu başlık altında açıkça ifade edilmelidir.

• Sızma testlerinin gerçekleştirileceği asgari erişim noktaları:
• Internet: MÜŞTERİ ‘ın internet üzerinden erişilebilen tüm sunucu ve servislerine erişilerek sızma testleri gerçekleştirilir.
• MÜŞTERİ iç ağı: MÜŞTERİ ‘ın iç ağında yer alan ve test kapsamında ele alınan sunuculara MÜŞTERİ iç ağı üzerinden erişilerek sızma testleri gerçekleştirilir. Ağ ve ağ trafiği üzerinde gerçekleştirilecek testler için de bu ağ kullanılır ve testi gerçekleştirecek şahıslara kullanımı en yaygın olan çalışan bilgisayarı profilinde bilgisayarlar sağlanır.
  • Detaylı sızma testleri MÜŞTERİ teknik ekipleri ile koordinasyon içinde ve test zamanı mutabık kalınarak yapılacaktır.
  • Gerçekleştirilen testler uluslararası standart ve yönetmeliklere (HIPPA, Sarbanes-‐Oxley, Payment Card Industry (PCI), ISO 27001) tam uyumlu olacaktır.

• ağ haritasının çıkarılması

• Bilgi İşlem yetkililerinden bilgisi ve izni ile sunucuyu ele geçirmeye yönelik testler gerçekleştirme üzerinde şu denetimler yapılacaktır :

• sistemlerindeki veritabanı uygulamaları ve bu uygulamaları üzerinde barındıran işletim sistemleri tespit edilerek, tespit edilen sistemlere erişimin açık olup olmadığı denetlenecektir. Erişimin açık olması halinde çeşitli tarama araçlarıyla veritabanı versiyonu, üretici adı vb. bilgiler ele geçirilmeye çalışılacaktır.

• • • FİRMA, MÜŞTERİ Wireless LAN X.X.X.X /24 IP bloğunu yerel ağ üzerinden üzerinden sızma testi yapacaktır. (IPR_WAN)Hedef sisteme ait kablosuz ağlar (SSID) ile gizli durumdaki kablosuz ağlar (Hidden SSID) tespit edilecektir.Kablosuz ağda kullanılan şifreleme yöntemleri belirlenip, kablosuz ağa bağlı mobil cihazlar bulunacak ve kablosuz ağa bağlı sistemlere yönelik bilgi toplama çalışmaları yapılacaktır.Kullanılan IP adres aralığı belirlenecek, MAC adresinden cihaz tipi belirlenip işletim sistemi keşif çalışmaları yapılacaktır.Access Point cihazı IP adresi araştırılacak, bu cihazın yönetim arabirimine yönelik güvenlik testleri ve kimlik doğrulama (open/shared) denetimleri yapılacaktır.Ağa bağlı istemcilerin IP adresleri ve işletim sistemleri belirlenecektir.MAC adres filtreleme belirlenecek, MAC adres filtreleme özelliğini atlatma ve Hotspot atlatma testleri yapılacaktır.DNS tünelleme ve authentication token hijacking yapılacaktır.Monitor modda ağa bağlı istemcilerin trafiğini izleme (client isolation mode testleri) testleri, ağa bağlı istemcilere yönelik MITM testleri ve ağa bağlı istemcilerin sistemlerini ele geçirme (fake upgrade) testleri gerçekleştirilecektir.Ağa bağlı istemcilerden WEP/WPA anahtarı alma denemeleri yapılacaktır.WPA/WPA2 anahtarını elde etme girişimleri denenecektir.WEP anahtarı kırma için trafik toplama ve istemcinin bağlantısı olmayan WEP ağlarda trafik üretme yapılacaktır.Aircrack-ng kullanarak WEP anahtarı kırma ve rainbow table ve wordlist kullanımı yapılacaktır.MAC koruması aşma testleri yapılacak, WPA cracking için handshake mesajlarını yakalama denenecektir.Cowpatty vb. araçlar kullanarak WPA anahtarı kırma denenecektir.WPA/WPA2 anahtarı kırmak için rainbow table, wordlist ve brute force atak kullanımı yapılacaktır.WPS destekli kablosuz ağlara yönelik keşif çalışmaları yapılacak, PIN numarası testleri gerçeklenecektir.WPS kullanılan Access Pointlere ait WPA anahtarı kırma denenecektir.Sahte d bağlantı istekleri göndererek bağlantı limitleri zorlanacaktır.Wifi kullanıcılarına ait hassas bilgilerin elde edilmesi denenecektir.Ağa bağlı kablosuz istemcilere de-authentication saldırıları ve de-asssicate saldırıları gerçekleştirilecektir.Rogue Access point ler olup olmadığı kontrol edilecek.FİRMA, MÜŞTERİ Wireless Ziyaretçi Networkü üzerinden sızma testi yapılacaktır.  (IPR_WF)Ziyaretçi networkünde kimlik bilgileri girmeden veya kandırarak erişim testi yapılacaktır.Ziyaretçi networkünden MÜŞTERİ networklerine erişim test edilecektir.
    • Kablosuz ağ üzerinde şu ataklar yapılacaktır:

Access control attacks

• War Driving
• Rogue Access Points
• Ad Hoc Associations
• Mac Spoofing
• 802.1X Radius Cracking

Confidentiality attacks

• Eavesdropping
• WEP Key Cracking
• Evil Twin AP
• AP Phishing
• Man in the Middle

Integrity attacks

• 802.11 Frame Injection
• 802.11 Data Replay
• 802.1X EAP Replay
• 802.1X RADIUS Replay

Authentication attacks

• Shared Key Guessing
• PSK Cracking
• Application Login Theft
• Domain Login Cracking
• VPN Login Cracking
• 802.1X Identity Theft
• 802.1X Password Guessing
• 802.1X LEAP Cracking
• 802.1X EAP Downgrade

Availability attacks

• AP Theft
• Queensland DoS
• 802.11 Beacon Flood
• 802.11 Associate / Authenticate Flood
• 802.11 TKIP MIC Exploit
• 802.11 Deauthenticate Flood
• 802.1X EAP-Start Flood
• 802.1X EAP-Failure
• 802.1X EAP-of-Death
• 802.1X EAP Length Attacks

• • • Karmaşık ağlarda VoIP altyapısı analizi yapılacak ve VoIP çalıştıran sistemler bulunacaktır.
    • Paket dinlemesi yoluyla ağ üzerinden geçebilecek VoIP paketleri yakalanmaya ve konuşmalar dinlenmeye çalışılacaktır.
    • Kullanılan VoIP yazılım ve protokollerinin keşfi yapılacak, VoIP protokolleri zafiyet analizi, VoIP ses analizi, VoIP üzerinden görüntü analizi ve şifreli VoIP trafiği analizleri gerçekleştirilecektir.
    • VoIP kimlik doğrulama ve yetkilendirme altyapısının analizi, VoIP altyapısında kullanılan sinyalleşme protokollerinin ve voice encoding yöntemlerinin zafiyet analizi yapılacaktır.
    • VoIP bileşenleri, ortam geçidi (media gateway), session border controller (SBC) vb. analizleri gerçeklenecektir.
    • Video streaming amaçlı kullanılan sistemlerin ve TCP/IP protokollerinin keşfi yapılacaktır. Video streaming amaçlı kullanılan yazılımların bulunması ve zafiyet analizi gerçekleştirilecektir.
    • Multicast kullanımı ve şifreleme analizi yapılacak, video streaming ve müşteri hattının analizi, video streaming satışı için kullanılan alt yapının güvenlik zafiyet analizi gerçeklenecektir.
    • Video streaming donanımlarının performans testleri yapılacak, binary analiz gerçekleştirilecektir.
    • SIP enumeration (SIP register, options ve invite methods) ve VoIP wardialing yapılacak, online SIP servisleri incelenecektir.
  • FİRMA, MÜŞTERİ ‘a ait olan aşağıdaki web sayfalarına sızma testi yapacaktır.
• WEB SERVİS/WEB UYGULAMA SIZMA TESTLERİ 
• MÜŞTERİ.com.tr
• xrm.MÜŞTERİ.com.tr
• blog.MÜŞTERİ.com
• payrest.MÜŞTERİ.com
• ……MÜŞTERİ.com.tr

• Web sayfaları HTTP protokolüne yönelik uygulama tabanlı kontroller ile değerlendirilmelidir. Bu testlerde, İnternet/İntranet üzerinde sıradan haklara sahip bir kullanıcı ile web uygulaması ve onun kullandığı bileşenlerin açıklarından yararlanarak, erişimi engellenmiş, izin verilmeyen ve gizli bilgilere erişim ile web uygulaması üzerinde daha geniş yetkilere sahip olmaya çalışılacaktır.
  • Web sayfalarına yapılacak sızma testlerinde, anonim kullanıcı ve tanımlı kullanıcı hesapları ile sızma testi yapılacaktır.  Kullanıcı hesap bilgileri MÜŞTERİ tarafından FİRMA ile paylaşılacaktır.
  • Keşif çalışması esnasında test edilen sunucuya ait erişim bilgilerinin belirlenmesi, DNS doğrulaması, web uygulamasının çalıştığı portların tespiti, sunucu ve uygulama sürümlerinin belirlenmesi ve web site haritasının çıkarılması işlemleri yapılacaktır. Bu kapsamda elde edilmesi hedeflenen bilgiler aşağıda yer almaktadır:
• Web uygulaması çalışan portların belirlenmesi
• Aynı sunucu üzerinde çalışan farklı web siteleri ve uygulamaların tespiti
• Web sunucu sürüm bilgilerinin tespiti
• SSL sertifika bilgilerinin çıkartılması
• Sunucu üzerinde çalışan uygulamaların belirlenmesi
• Değişik arama motorları kullanılarak test edilen sistem hakkında bilgi toplamak ve kritik bilgilere erişim
• Arama motorları ve değişik online sistemler kullanılarak uygulama hakkında kayıt altına alınmış olabilecek önemli bilgileri toplama
• Sunucu tarafından desteklenen metot ve encoding mekanizmalarının belirlenmesi
• Taranacak web site haritasının çıkarılması
• Statik ve dinamik uygulamaların belirlenmesi
  • Statik tarama aşamasında web sunucusunun ve kullanılan uygulamaların bilinen açıklara karşı standart tarama araçları, scriptler ve fuzzing adı verilen yöntemler ile kontrolleri gerçekleştirilecektir. Bu kapsamda gerçekleştirilen işlemler aşağıda yer almaktadır:
• Web sunucusunun standart tarama araçları ile kontrol edilmesi
• Sunucu tipinin belirlenmesi ve sunucu tipine göre mevcut sorunların ortaya çıkartılması
• Bilinen güvenlik açıklarının tespit edilmesi
• Kullanılan dizinlerin tespiti
• Dizin erişim haklarının kontrolü
• Dizin içerik listeleme problemlerinin belirlenmesi
• Dizin atlatma problemlerinin tespiti
• Sunucu yapılandırma hatalarının belirlenmesi
• Web sunucusu hata denetim mekanizmasının kontrol edilmesi
• İlk kurulum sonrası uygulama veya sunucu tarafından yüklenen web sayfası, dizin ve uygulamaların belirlenmesi
• Yüklü sunucu bileşenleri ve uzantıların belirlenmesi
• Sunucunun desteklediği metotların belirlenmesi ve zaralı metotların kontrolü
• WEBDAV kontrolleri
• CGI problemlerinin belirlenmesi
• Kullanılan uygulama framework’une yönelik kontroller
• Sunucu üzerindeki kritik bilgilere web üzerinden erişim testleri
• Bilinen dosya ve uygulama isimlerinin taranması
• Yedek, kopya veya test amaçlı kullanılan sayfa ve uygulamaların belirlenmesi
• Site içeriği ile ilgili olmadığı düşünülen sayfa ve uygulamaların belirlenmesi
• Deneme-yanılma tahmin saldırıları
  • Dinamik tarama aşamasında web uygulaması ve sunucu, uygulamaya ve sunucu tipine yönelik hazırlanmış özel güvenlik araçları ve elle kontrol edilir. Bu aşamada gerçekleştirilen işlemler aşağıda yer almaktadır:
• Bilgi açığa çıkmasına yönelik kontroller
• Genel veri girdi ve çıktı denetimleri
• HTTP başlığında aktarılan verilere ilişkin kontroller
• Uygulamaya yönelik DoS kontrolleri
• Captcha kontrolleri
• Parametre kontrolleri
• Kimlik doğrulama kontrolleri
• Veri iletim katmanı güvenliği kontrolleri
• Oturum yönetimi kontrolleri
• Yetkilendirme kontrolleri
• XSS (Cross site scripting) güvenlik problemleri
• CSRF (Cross site request forgery) problemlerine yönelik kontroller
• Clickjacking korumasına yönelik kontroller
• Kritik form alanlarını değiştirmeye yönelik kontroller
• Uygulama üzerinden komut enjekte etme kontrolleri
• PHP/ASP kod çalıştırma/ekleme güvenlik problemleri
• Uygulamanın geliştirildiği framework’e (Google GWT, Java ZK vb.) özel kontroller
• ASP.NET Viewstate mekanizmasına yönelik kontroller
• Script analizleri
• Dosya yükleme uygulamalarının kontrolü
• Spoofing kontrolleri
• HTTP response splitting kontrolleri
• HTTP response injection kontrolleri
• XML/Web servis kontrolleri
• Dizin atlatma yöntemi ile işletim sistemi üzerindeki dosyalara erişim kontrolleri
• Uzak veya yerel dosya kaynak kodu ekleme kontrolleri
• Flash ve Flex tabanlı uygulamalara yönelik kontroller
• Uygulama tarafından kullanılabilecek muhtemel web servislerin güvenliğine ilişkin kontroller
• Uygulama tarafından alınmış hatalı filtreleri ortaya çıkarma
• Farklı encoding yöntemleri kullanarak sunucu veya uygulama tarafından sağlanan güvenlik denetimlerini devre dışı bırakma testleri
  • Mantıksal iş akış kontrolleri aşamasında, oluşturulan iş modelindeki eksikler veya hatalar nedeni ile mevcut fonksiyonları kötüye kullanmaya neden olabilecek zafiyetleri içermektedir. Bu iş akış kontrolleri aşamasında gerçekleştirilen işlemler aşağıda yer almaktadır:
• Uygulama seviyesindeki yetki aşımı, yetkisiz erişim kontrolleri
• Kritik içeriklere ve farklı kullanıcı verilerine yetkisiz erişim kontrolleri
• Kaynak hesap gibi verileri değiştirerek işlem yapmaya yönelik kontroller
• Cookie verileri ile tutulan yetkilendirme mekanizmalarının tespitine yönelik kontroller
• Zaman, listelenecek kayıt, maksimum adet gibi tanımlı limitleri ve istemci temelli filtreleri aşmaya yönelik kontroller
• Fiyat, indirim oranı gibi önemli verileri değiştirmeye yönelik kontroller
• Replay ve repetition saldırıları
• Birden fazla adımdan oluşan uygulamalarda, adım akışının ve mantıksal işleyişin atlatılmasına veya devre dışı bırakılmasına yönelik kontroller
• Yetkisiz dosya erişimleri, veri veya dosya export fonksiyonları ile farklı kullanıcılara ait verilere ve dosyalara erişim sağlamaya yönelik kontroller
• Javascript ve Flash gibi istemci tarafında bulunan kodlar içine gömülü işleyişlerin belirlenmesi, login sonrası erişilmesi gereken endpoint uygulamaların ortaya çıkarılması
• Mevcut iş akışının servis dışı kalmasına yol açabilecek sorunların belirlenmesine yönelik kontroller
  • Manuel (elle) kontrol aşamasında genel olarak aşağıdaki işlemler gerçekleştirilir:
• Hatalı sonuçların ayıklanması
• Uygulamaya yollanan isteklere alınan cevaplardan direk olarak belirlenemeyecek (second-order veya stored) sorunların ortaya çıkarılmasına yönelik kontroller
• Sunucuyu ele geçirmeye yönelik testler gerçekleştirme
• Web sunucusu üzerinden arka plandaki veri tabanına erişim sağlama
• Ele geçirilen sunucu üzerinden diğer sistemlere veya yerel ağa sızma
  • Kalite kontrol ve raporlama aşamasında tespit edilen açıklar ve risk seviyeleri, bu açıklar kullanılarak neler yapılabileceği ve açıkların nasıl kapatılacağı doğru, anlaşılır ve teknik detayları ile birlikte sunulacaktır.
  • Doğrulama aşamasında rapor edilen güvenlik açıklarının MÜŞTERİ tarafından kapatılması sonrasında halen sistem üzerinde var olup olmadıkları kontrol edilir.
  • Hedef uygulamanın çalıştığı TCP portları belirlenecektir.
  • Hedef sistemde çalışan tüm web uygulamaları belirlenecektir. Bu web uygulamasının haritası çıkarılacak, uygulama girdi noktaları tespit edilecek ve uygulamada kullanılan yönetim paneli belirlenecektir.
  • Hedef web uygulaması, web sunucusu ve web servisi için kullanılan yazılım sürüm bilgileri belirlenecek, web yazılımlarına ait imza taraması yapılacak, hata mesajları incelenecektir.
  • SSL/TLS versiyon, algoritma ve sertifika geçerlilik testleri yapılacaktır.
  • Dosya uzantısı yönetim testleri yapılacaktır. Yedek, kopya, test veya eski sürümlerden kalma sayfa ve uygulamalar belirlenecektir.
  • Sunucu tarafından desteklenen metodlar ve XST belirlenecektir.
  • Hassas bilgilerin şifreli/şifresiz kanallardan aktarılıp aktarılmadığı kontrol edilecektir.
  • Hedef uygulama üzerinde tanımlı kullanıcılar belirlenecek, kullanıcı adı belirleme/doğrulama çalışmaları, kimlik doğrulama aşamasını atlatma denemeleri yapılarak, parola hatırlatma ve parola sıfırlama özellikleri test edilerek yetkili kullanıcılara yönelik brute force parola denemeleri yapılacaktır.
  • Browser ön bellek yönetimi ve “Log out” fonksiyonları testleri ile CAPTCHA güvenlik testleri yapılacaktır.
  • Oturum yönetimi zayıflıkları, oturum yönetimi bypass testleri ve detaylı cookie güvenlik testleri yapılacaktır.
  • Oturum sabitleme (session fixation) testleri, oturum değerleri tahmin saldırıları, CSRF (cross site request forgery) testleri, dizin atlatma/gezme (directory treversal) testleri, yetkilendirme atlatma/yetkilendirme geçiş testleri ve yetki yükseltimi testleri yapılacaktır.
  • Uygulamanın işleyişinin belirlenmesini takiben uygulamanın işleyişine yönelik teknik olmayan iş mantığı atakları yapılacaktır.
  • Yansıtılan/depolanmış/DOM tabanlı XSS testleri ve XSF (Flash XSS) testleri yapılacaktır.
  • SQL enjeksiyon/LDAP enjeksiyon/Xpath enjeksiyon/kod enjeksiyon testleri ve XNL testleri yapılacaktır.
  • İşletim sistemi komut enjeksiyon testleri, bellek taşması (buffer overflow) testleri, http response splitting testleri ve hesap kitleme politikasının testleri gerçekleştirilecektir.
  • SQL wildcard üzerinden DoS testleri, bellek taşması (buffer overflow) DoS testleri ve oturum boyutu arttırma DoS testleri yapılacaktır.
  • Web servisi bilgi toplama çalışmaları, WSDL testleri, XML yapı testleri ve genel ajax testleri yapılacaktır.
  • Web uygulama güvenlik duvarı keşif testleri ve network IPS keşif testleri tamamlandıktan sonra IPS/web uygulama güvenlik duvarı atlatma testleri gerçekleştirilecektir.

• IT ve KULLANICI BİLGİSAYARLARI GÜVENLİK
  •  
  • • , MÜŞTERİ yerel ağda bulunan 10.34.209.0/24 IP bloğuna yerel ağ üzerinden sızma testi yapacaktır. (IT)tarafından tespit edilecek normal kullanıcı bilgisayarları üzerinde sızma testi yapacaktır.Yerel yöneticilerin kullanımındaki zafiyetler ile hak yükseltme saldırıları gerçekleştirilecektir.Yama yönetimindeki zafiyetler ve desteği kaldırılmış eski sistemler tespit edilip, uzaktan kod çalıştırma ve hak yükseltme saldırıları gerçekleştirilecektir.Yetkisiz erişime imkan tanıyan dosya paylaşımları tespit edilerek, bu paylaşımlar ve paylaşımlardaki hassas veriler yoluyla hak yükseltme saldırıları gerçekleştirilecektir.Etki alanında yönetici haklarına sahip kullanıcı hesapları ve kullanıcı hesabı gruplarının kullanımındaki zafiyetler kullanılarak hak yükseltme saldırıları gerçekleştirilecektir.
    • Elde edilen şifre ve haklar ile hassas bilgilerin bulunduğu sunucu ve kullanıcı bilgisayarlarına erişim sağlamaya çalışılacaktır.

Bulgu önem dereceleri beş kategoride ele alınır. Acil, kritik, yüksek, orta ve düşük şeklinde olan bu kategorilere ilişkin açıklamalar Tablo-1’de yer almaktadır. Bunun yanı sıra güvenlik tehdidi oluşturmayacağı düşünülen bulgular ise bilgi seviyesi olarak gruplanarak ayrıca belirtilebilecektir.

Önem Derecesi	Açıklama
Acil	Niteliksiz saldırgan tarafından MÜŞTERİ dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır.
Kritik	Nitelikli saldırgan tarafından MÜŞTERİ dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır.
Yüksek	MÜŞTERİ dış ağından gerçekleştirilen ve kısıtlı hak yükseltilmesi veya hizmet dışı kalma ile sonuçlanan, ayrıca yerel ağdan ya da sunucu üzerinden gerçekleştirilen ve hak yükseltmeyi sağlayan saldırılara sebep olan açıklıklardır.
Orta	Yerel ağdan veya sunucu üzerinden gerçekleştirilen ve hizmet dışı bırakılma ile sonuçlanan saldırılara sebep olan açıklıklardır.
Düşük	Etkilerinin tam olarak belirlenemediği ve literatürdeki en iyi sıkılaştırma yöntemlerinin izlenmemesinden kaynaklanan eksikliklerdir.

Tablo-1: Bulgu Önem Dereceleri ve Açıklamaları

• BULGU RAPOR FORMATI

Kapsam bölümünde belirtilen başlıkların her biri altında raporlanacak bulguların sunuluş biçimi Tablo-2’de yer almaktadır.

Bulgu Referans No	Rapordaki her bulguyu tekil olarak niteleyen harf/rakam dizisi
Bulgu Adı	Bulguyu özet olarak ifade eden tanımlayıcı isim
Önem Derecesi	Bulgunun zafiyet kritiği düzeyi
Etkisi	Bulguda yer verilen açıklığın/eksikliğin kötüye kullanılması durumunda oluşabilecek potansiyel sonuç
Erişim Noktası	“MÜŞTERİ Sistem ve Ağ Altyapısı Bazında Genel ve Proje Bazlı Sızma Testi” bölümünde yer verilen testin gerçekleştirildiği erişim noktası
Kullanıcı Profili	“MÜŞTERİ Sistem ve Ağ Altyapısı Bazında Genel ve Proje Bazlı Sızma Testi” bölümünde yer verilen testin gerçekleştirildiği kullanıcı profili
Bulgunun Tespit Edildiği Bileşen/Bileşenler	Bulgunun tespit edildiği bileşeni niteleyen IP Numarası, URL, Sistem, Servis, Sunucu veya Varlık adı gibi bilgiler
Bulgu Açıklaması	Bulgunun detaylı açıklaması
Çözüm Önerisi	Bulgunun giderilmesi için testi gerçekleştiren kuruluş tarafından yapılacak çözüm önerisi

Tablo-2: Bulgu Rapor Formatı