Black Box Testi
White Box Testi
Grey Box Testi
Amaç: Gerçek bir harici saldırganın bakış açısını simüle etmek.
|
Kriter |
Açıklama |
|
Ön Bilgi Düzeyi |
Sıfır bilgi. Test uzmanına yalnızca hedef sistemin adı/adresi (URL, IP) verilir. Kaynak kodu, ağ mimarisi, kimlik bilgileri veya dahili sistem detayları sağlanmaz. |
|
Simülasyon Odak Noktası |
Sistemin dışarıdan nasıl göründüğü ve ilk erişimin (Initial Access) nasıl sağlanacağı. |
|
Efor ve Süre |
Yüksek efor, Uzun süre. Uzman, sisteme sızmak için gereken tüm bilgiyi (domain, alt sistemler, açık portlar, çalışan servisler vb.) sıfırdan toplamak zorundadır (Reconnaissance aşaması). |
|
Tespit Odak Noktası |
Yanlış yapılandırmalar, dışarıdan erişilebilen kritik zafiyetler ve dış çevrenin (perimeter) dayanıklılığı. |
|
Maliyet |
Genellikle keşif süresinin uzunluğundan dolayı daha yüksek olabilir. |
Amaç: İçeriden gelebilecek veya bir saldırganın tam erişim sağladıktan sonra verebileceği zararı tespit etmek. En kapsamlı test yaklaşımıdır.
|
Kriter |
Açıklama |
|
Ön Bilgi Düzeyi |
Tam ve Kapsamlı Bilgi. Test uzmanına kaynak kodlar, ağ diyagramları, sunucu yapılandırmaları, sistem mimarisi dokümanları ve tüm kimlik bilgileri (Admin/Root erişimi dahil) sağlanır. |
|
Simülasyon Odak Noktası |
Kaynak kodu ve mimari düzeyde derinlemesine içsel zayıflıklar (mantık hataları, güvenli olmayan kodlama pratikleri). |
|
Efor ve Süre |
Yüksek efor, En uzun süre. Kaynak kod incelemesi (Code Review) çok zaman alır, ancak keşif aşaması hızlı geçer. |
|
Tespit Odak Noktası |
Kod içindeki zafiyetler (SQL Enjeksiyonu, XSS gibi), doğru bir şekilde yapılandırılmamış dahili güvenlik kontrolleri ve erişim yetkilendirme sorunları. |
|
Maliyet |
En derinlemesine analiz yapıldığı ve en uzun sürdüğü için en yüksek maliyetli yaklaşımdır. |
Amaç: Sisteme erişim sağlamış ancak tam yetkiye sahip olmayan bir iç kullanıcıyı (yetkili çalışan) veya ağa sızmış bir saldırganı simüle etmek.
|
Kriter |
Açıklama |
|
Ön Bilgi Düzeyi |
Sınırlı Bilgi. Test uzmanına genellikle standart bir kullanıcı hesabı (login bilgileri) veya sistemin bazı yüksek seviyeli mimari dokümanları verilir. |
|
Simülasyon Odak Noktası |
Yetki yükseltme (Privilege Escalation) zafiyetleri ve yetkisi dahilinde bulunmaması gereken verilere veya fonksiyonlara erişim. Verimlilik ve gerçekçilik arasında denge kurar. |
|
Efor ve Süre |
Orta. Black Box'a göre daha hızlı (keşif kısmen atlanır), White Box'a göre daha az kapsamlıdır. |
|
Tespit Odak Noktası |
Standart bir kullanıcının, sistemi kötüye kullanarak ne kadar hasar verebileceği veya başka kullanıcıların verilerine erişip erişemeyeceği. |
|
Maliyet |
Genellikle orta düzeydedir ve çoğu kuruluş için en dengeli maliyet/fayda oranını sunar. |
Temel Farklılıkların Özeti
Bu üç metodoloji arasındaki temel fark, test uzmanının güvenlik duruşunu hangi aşamada (dışarıdan, içeriden, yetkili) ve hangi bilgi seviyesiyle değerlendirdiğidir:
|
Özellik |
Balck Box |
White Box |
Gri Box |
|
Verilen Bilgi |
Hiçbiri (Sadece hedef adresi) |
Tamamı (Kod, Mimari, Yetkiler) |
Sınırlı (Kullanıcı hesabı, temel mimari) |
|
Saldırgan Profili |
Harici, bilgisiz saldırgan |
İçeriden uzman/Geliştirici veya tam yetkili saldırgan |
Yetkili/Dahili kullanıcı veya ağa sızmış saldırgan |
|
Odak Alanı |
Dış çevre ve ilk erişim |
Kod kalitesi ve içsel mantık zafiyetleri |
Yetki yükseltme ve yetkisiz erişim |
|
Zaman Tüketimi |
Keşif (Uzun) |
Analiz (Uzun) |
Test senaryoları (Dengeli) |
|
Verimlilik |
Düşük (Keşif zaman alır) |
Yüksek (Doğrudan koda odaklanılır) |
Dengeli ve Odaklanmış |
Kuruluşlar, güvenlik hedeflerine ve bütçelerine en uygun olan metodolojiyi seçerek güvenlik süreçlerini optimize eder.
Black Box,White Box ve Grey Box Sızma Testi Farkları