PTES (Penetration Testing Execution Standard), profesyonel bir sızma testinin kapsam belirlemeden raporlamaya kadar nasıl yürütülmesi gerektiğini tanımlayan bir topluluk standardıdır.

PTES kaç aşamadan oluşur?

PTES 7 aşamadan oluşur: ön anlaşma, istihbarat toplama, tehdit modelleme, zafiyet analizi, sömürü, sömürü sonrası ve raporlama.

PTES'in OWASP'tan farkı nedir?

PTES, bir angajmanın tüm varlık türleri genelindeki uçtan uca sürecini tanımlar. OWASP test rehberleri ise ağırlıklı olarak web uygulaması güvenlik testi metodolojisi ve kontrol listelerine odaklanır.

Bir sızma testi ne kadar sürer?

Kapsama bağlıdır. Odaklı bir web uygulaması testi genellikle bir ila iki hafta sürerken, geniş bir ağ veya red team angajmanı birkaç hafta sürebilir.

PTES Süreç Simülatörü

Penetration Testing Execution Standard'ın 7 aşamasını adım adım gezin. Her aşamada ne yapıldığını, kullanılan gerçek araçları, üretilen çıktıyı ve sahadan dürüst bir saha sırrını görün.

Aşama 1/7

1. Ön Anlaşma (Pre-engagement)

Ne yapılır

Teste başlamadan önce kapsam, kurallar, hedefler, zaman pencereleri, acil durum iletişimi ve yasal yetkilendirme yazılı olarak karara bağlanır.

Tipik araçlar

Yetkilendirme formları, kapsam çalışma kağıtları, RACI matrisi, Google Workspace, imzalı iş emri

Çıktı

İmzalı kapsam belgesi, angajman kuralları ve yazılı test yetkisi.

Saha sırrı

Çoğu proje tam burada çöker. Belirsiz kapsam, kapsam kaymasına, dokunma yetkiniz olmayan IP aralıklarına ve anlaşmazlığa yol açar. Kapsamı kilitleyin ve imzalatın.

PTES (Penetration Testing Execution Standard) 7 aşama tanımlar. Herhangi bir aşamaya tıklayarak inceleyin.

PTES nedir?

Penetration Testing Execution Standard (PTES), bir sızma testini sıralı 7 aşamaya ayıran, yaygın olarak referans alınan bir metodolojidir. Hem müşteriye hem test ekibine gerçek bir angajmanın neleri kapsadığı konusunda ortak bir dil verir. Böylece test, doğrulanmamış bir zafiyet taraması değil, net kapsamlı, kanıtlı ve giderme yol haritalı yapılandırılmış bir değerlendirme olur. Sızma testi süreci, fiyatı ve ne zaman gerekli.

PTES ve OWASP karşılaştırması

PTES ve OWASP rakip değil, tamamlayıcıdır. PTES, ağ, uygulama ve insan genelinde bir angajmanın tüm yaşam döngüsünü kapsar. OWASP test rehberleri ise web uygulaması metodolojisinde derinleşir. Olgun bir ekip, PTES'i genel süreç olarak kullanır ve OWASP kontrol listelerini zafiyet analizi ile sömürü aşamalarına dahil eder. Sızma testi yapan firmalar nasıl seçilir.

Sızma testi süreci nasıl işler

Gerçek bir angajman, aşamalar boyunca sırayla ilerler. İmzalı bir kapsamla başlar, keşif ve tehdit modellemeden geçer, bulguları doğrulayıp sömürür, sömürü sonrasında gerçek etkiyi ölçer ve hem yöneticiler hem mühendisler için yazılmış bir raporla biter. Tüm bunların arkasındaki uzman, ham erişimi müşterinin aksiyon alabileceği iş riskine çevirir. Pentester nedir, ne iş yapar, nasıl olunur.

DSET'ten gerçek bir sızma testi alın

Bu simülatör eğitim amaçlıdır. Gerçek bir değerlendirme, profesyoneller tarafından yürütülen kapsamlı ve yetkili bir angajman gerektirir. DSET'in Ankara'daki sızma testi ekibi, net kapsam, kanıt ve giderme desteğiyle PTES uyumlu testler sunar. Kapsamınızı görüşmek için +90 536 662 38 09 numarasını arayın veya [email protected] adresine yazın.