Sızma Testi (Penetration Test) nasıl yapılır,hangi araçlar kullanılabilir,kimler sızma testi yapabilir bunları her yerde okursunuz. Bu yazıda komik duruma düşmemeniz için sızma testi sırasında yapmamanız gerekenlerden bazılarını listeleyeceğim.Eksik olduğunu düşündüğünüz maddeler varsa yorum olarak ekleyebilirsiniz.
- Kapsam dışına çıkmayın,test kapsamında olmayan tek bir ip adresine tek bir paket bile göndermeyin.
- Servis ve hizmet kesintisine sebep olmayın. Yapılmaya çalışılan işin adı üstünde sızma,farkettirmeden bir takım sistemlere,bilgilere erişme testi, servis kesintisine neden olma, cihaz yamultma testi değil. Bu nedenle bence sızma testi sırasında ortaya çıkan kesintiler testin ve firmanın başarısız olduğunu göstermeye yeter.
- Müşterinin belirlediği kapsamda yapılacak test için testi bitiremeyeceğiniz süreler taahhüt etmeyin. Belirteceğiniz süre çok kısa ya da çok uzun olursa çoğu zaman işi alamazsınız bile. Kendinizi tanıtırken "Dünyaca tanınmış hacker" gibi komik ifadelerden kaçının.
- Sadece hazır araçların raporlarını sızma testi raporu diye sunmayın.
- Özellikle otomatik tarama bulgularını doğrulamadan raporlarınıza yazmayın.
- Yeni bir rapor hazırlamaya üşenip önceki raporlardan birini değiştirip kullanacaksanız, değiştirdiğiniz eski raporda eski müşterinize ait bilgi bırakmayın.
- X işletim sistemi ya da ürünü için geliştirilen istismar araç ya da yöntemini Y işletim sistemine ya da ürününe karşı kullanmayın. Windows işletim sisteminde "passwd" dosyası aramayın mesela.
