İçereği Atla

Black Box,White Box ve Grey Box Sızma Testi Farkları

Sızma testi (Pentest), bir kuruluşun güvenlik zayıflıklarını bulmak amacıyla kontrollü bir siber saldırı simülasyonudur. Bu testlerin en temel farkı, test uzmanına (penetration tester) sistem hakkında ne kadar ön bilgi verildiği ve hangi saldırgan profilinin simüle edildiğidir. Bu bilgi düzeyi, üç ana metodolojiyi ortaya çıkarır: Black Box, White Box ve Grey Box.
4 Aralık 2025 yazan
Black Box,White Box ve Grey Box Sızma Testi Farkları
Ayşe CAN
 
  1. Black Box Testi

  2. Amaç: Gerçek bir harici saldırganın bakış açısını simüle etmek.

                       Kriter

                      Açıklama

    Ön Bilgi Düzeyi

    Sıfır bilgi. Test uzmanına yalnızca hedef sistemin adı/adresi (URL, IP) verilir. Kaynak kodu, ağ mimarisi, kimlik bilgileri veya dahili sistem detayları sağlanmaz.

    Simülasyon Odak Noktası

    Sistemin dışarıdan nasıl göründüğü ve ilk erişimin (Initial Access) nasıl sağlanacağı.

    Efor ve Süre

    Yüksek efor, Uzun süre. Uzman, sisteme sızmak için gereken tüm bilgiyi (domain, alt sistemler, açık portlar, çalışan servisler vb.) sıfırdan toplamak zorundadır (Reconnaissance aşaması).

    Tespit Odak Noktası

    Yanlış yapılandırmalar, dışarıdan erişilebilen kritik zafiyetler ve dış çevrenin (perimeter) dayanıklılığı.

    Maliyet

    Genellikle keşif süresinin uzunluğundan dolayı daha yüksek olabilir.

  3.  White Box Testi

  4. Amaç: İçeriden gelebilecek veya bir saldırganın tam erişim sağladıktan sonra verebileceği zararı tespit etmek. En kapsamlı test yaklaşımıdır.

                       Kriter

                      Açıklama

    Ön Bilgi Düzeyi

    Tam ve Kapsamlı Bilgi. Test uzmanına kaynak kodlar, ağ diyagramları, sunucu yapılandırmaları, sistem mimarisi dokümanları ve tüm kimlik bilgileri (Admin/Root erişimi dahil) sağlanır.

    Simülasyon Odak Noktası

    Kaynak kodu ve mimari düzeyde derinlemesine içsel zayıflıklar (mantık hataları, güvenli olmayan kodlama pratikleri).

    Efor ve Süre

    Yüksek efor, En uzun süre. Kaynak kod incelemesi (Code Review) çok zaman alır, ancak keşif aşaması hızlı geçer.

    Tespit Odak Noktası

    Kod içindeki zafiyetler (SQL Enjeksiyonu, XSS gibi), doğru bir şekilde yapılandırılmamış dahili güvenlik kontrolleri ve erişim yetkilendirme sorunları.

    Maliyet

    En derinlemesine analiz yapıldığı ve en uzun sürdüğü için en yüksek maliyetli yaklaşımdır.

     

  5. Grey Box Testi

  6. Amaç: Sisteme erişim sağlamış ancak tam yetkiye sahip olmayan bir iç kullanıcıyı (yetkili çalışan) veya ağa sızmış bir saldırganı simüle etmek.

                       Kriter

                      Açıklama

    Ön Bilgi Düzeyi

    Sınırlı Bilgi. Test uzmanına genellikle standart bir kullanıcı hesabı (login bilgileri) veya sistemin bazı yüksek seviyeli mimari dokümanları verilir.

    Simülasyon Odak Noktası

    Yetki yükseltme (Privilege Escalation) zafiyetleri ve yetkisi dahilinde bulunmaması gereken verilere veya fonksiyonlara erişim. Verimlilik ve gerçekçilik arasında denge kurar.

    Efor ve Süre

    Orta. Black Box'a göre daha hızlı (keşif kısmen atlanır), White Box'a göre daha az kapsamlıdır.

    Tespit Odak Noktası

    Standart bir kullanıcının, sistemi kötüye kullanarak ne kadar hasar verebileceği veya başka kullanıcıların verilerine erişip erişemeyeceği.

    Maliyet

    Genellikle orta düzeydedir ve çoğu kuruluş için en dengeli maliyet/fayda oranını sunar.


Temel Farklılıkların Özeti

Bu üç metodoloji arasındaki temel fark, test uzmanının güvenlik duruşunu hangi aşamada (dışarıdan, içeriden, yetkili) ve hangi bilgi seviyesiyle değerlendirdiğidir:

  Özellik

  Balck Box

  White Box

     Gri Box

Verilen Bilgi

Hiçbiri (Sadece hedef adresi)

Tamamı (Kod, Mimari, Yetkiler)

Sınırlı (Kullanıcı hesabı, temel mimari)

Saldırgan Profili

Harici, bilgisiz saldırgan

 İçeriden uzman/Geliştirici veya tam yetkili saldırgan

Yetkili/Dahili kullanıcı veya ağa sızmış saldırgan

Odak Alanı

Dış çevre ve ilk erişim

Kod kalitesi ve içsel mantık zafiyetleri

Yetki yükseltme ve yetkisiz erişim

Zaman Tüketimi

 Keşif (Uzun)

Analiz (Uzun)

Test senaryoları (Dengeli)

Verimlilik

Düşük (Keşif zaman alır)

Yüksek (Doğrudan koda odaklanılır)

Dengeli ve Odaklanmış

Kuruluşlar, güvenlik hedeflerine ve bütçelerine en uygun olan metodolojiyi seçerek güvenlik süreçlerini optimize eder.

Black Box,White Box ve Grey Box Sızma Testi Farkları
Ayşe CAN 4 Aralık 2025
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment