Sızma Denemeleri: Ölçünler, Süreçler ve Kandırma Teknikleri Üzerine Bir İnceleme

Öz

Bu çalışma, siber güvenlik alanında yaygın olarak kullanılan sızma testi metodolojilerini, standartlarını ve güncel istismar tekniklerini ele almaktadır. Sızma testi, sistemlerdeki zafiyetleri önceden tespit ederek potansiyel saldırılara karşı etkili savunma stratejileri geliştirmek amacıyla uygulanan temel bir güvenlik prosedürüdür. Bu çalışmada OWASP, OSSTMM, PTES, ISSAF ve NIST gibi standartlar incelenmiş; sızma testi süreçleri detaylandırılmış ve güvenlik açıklarının belirlenmesine yönelik örnekler sunulmuştur. Ayrıca, SQL enjeksiyonu, MITM (ortadaki adam) saldırıları, DoS (hizmet dışı bırakma) saldırıları, XSS (çapraz site betik çalıştırma) ve parola saldırıları gibi güncel istismar tekniklerine dair uygulamalı örnekler verilmiş ve bu tehditlere karşı alınabilecek önlemler tartışılmıştır. Buna ek olarak, söz konusu tekniklerin uygulanabilirliğini göstermek amacıyla senaryo tabanlı bir sızma testi vakası simüle edilmiş; elde edilen bulgular CVSS (ortak zafiyet puanlama sistemi) kullanılarak yapılandırılmış bir risk analiziyle değerlendirilmiştir. Teknik ve yönetsel seviyede hazırlanmış örnek bir raporlama çıktısı da çalışmaya dahil edilmiştir. Literatürde sızma testi süreçleri ve standartları üzerine ulusal bazda sınırlı sayıda çalışma bulunması, bu makalenin hem sektöre hem de Türkçe literatüre katkı sağlaması açısından önem arz etmektedir.

Anahtar Kelimeler

• Sızma Testi Standartları
• Siber Güvenlik
• OWASP
• İstismar Teknikleri
• Vaka Analizi

Penetration Testings: An Examination of Standards, Processes, and Exploitation Techniques

Öz

This study addresses commonly used penetration testing methodologies, standards, and recent exploitation techniques in cybersecurity. Penetration testing is a fundamental security procedure applied to identify vulnerabilities in systems in advance and develop effective defense strategies against potential attacks. This work examines standards such as OWASP, OSSTMM, PTES, ISSAF, and NIST, detailing the penetration testing processes and providing examples of identifying security weaknesses. Additionally, practical examples of current exploitation techniques, including SQL injection, MITM (Man-in-the-Middle) attacks, DoS (Denial of Service) attacks, XSS (Cross-Site Scripting), and password attacks, are presented, along with a discussion of countermeasures against these threats. Furthermore, a scenario-based penetration testing case is simulated to demonstrate the application of these techniques, and the findings are evaluated through a structured risk analysis using the CVSS (Common Vulnerability Scoring System). A reporting sample addressing both technical and managerial levels is also included. The limited number of national studies on penetration testing processes and standards in the literature highlights this paper's importance in contributing to the industry and Turkish literature.

Anahtar Kelimeler

• Penetration Testing Standards
• Cybersecurity
• OWASP
• Exploitation Techniques
• Case Study

Kaynakça

1. Admass, W. S., Y. Y. Munaye, ve A. A. Diro, “Cyber security: State of the art, challenges and future directions”, Cyber Security and Applications, c. 2, Oca. 2024, doi: 10.1016/J.CSA.2023.100031.
2. Nurse, J. R. C., N. Williams, E. Collins, N. Panteli, J. Blythe, ve B. Koppelman, “Remote Working Pre- and Post-COVID-19: An Analysis of New Threats and Risks to Security and Privacy”, Communications in Computer and Information Science, c. 1421, ss. , pp. 583-590, 2021, doi: 10.1007/978-3-030-78645-8_74.
3. OWASP, “OWASP Top Ten”, OWASP Foundation. Erişim: 22 Mart 2024. [Çevrimiçi]. Erişim adresi: https://owasp.org/www-project-top-ten/
4. Karen, S. ve O. Angela, “NIST - Technical Guide to Information Security Testing and Assessment Recommendations”, Nist Special Publication, c. 800, ss. , pp. 1-80, 2008, doi: 10.6028/NIST.SP.800-115.
5. PTES, “The Penetration Testing Execution Standard”, Pentest Standard. Erişim: 05 Şubat 2025. [Çevrimiçi]. Erişim adresi: http://www.pentest-standard.org/index.php/Main_Page
6. Positive Technologies, “Web Applications vulnerabilities and threats: statistics for 2019”, Global Ptsecurity. Erişim: 23 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://global.ptsecurity.com/analytics/web-vulnerabilities-2020
7. SiteLock, “Cybersecurity Statistics Report 2022”, SiteLock. Erişim: 20 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://www.sitelock.com/resources/security-report/
8. Goel, J. N. ve B. M. Mehtre, “Vulnerability Assessment & Penetration Testing as a Cyber Defence Technology”, içinde Procedia Computer Science, Elsevier, 2015, ss. , pp. 710-715. doi: 10.1016/j.procs.2015.07.458.

9. “Penetration Testing Market Size, Share | Growth Report [2032]”, Fortune Business Insights. Erişim: 02 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://www.fortunebusinessinsights.com/penetration-testing-market-108434
10. Sari, A., “Turkish national cyber-firewall to mitigate countrywide cyber-attacks”, Computers and Electrical Engineering, c. 73, ss. , pp. 128-144, Oca. 2019, doi: 10.1016/j.compeleceng.2018.11.008.
11. ThinkTech, “ThinkTech - Siber Tehdit Durum Raporu (Ocak - Mart 2024)”, Savunma Teknolojileri Mühendislik A.Ş. Erişim: 03 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://thinktech.stm.com.tr/tr/siber-tehdit-durum-raporu-ocak-mart-2024
12. Neciyev, S. ve B. Pazarbaşi, “Siber Güvenlik, Siber Savaş Alanında Seçili Anahtar Kelimeler ile İlgili Araştırmaların Bibliyometrik Analizi”, Gazi Üniversitesi Fen Bilimleri Dergisi Part C: Tasarım ve Teknoloji, c. 12, sy 1, ss. , pp. 57-79, Mar. 2024, doi: 10.29109/GUJSC.1378921.
13. Shah, S. ve B. M. Mehtre, “An overview of vulnerability assessment and penetration testing techniques”, J Comput Virol Hack Tech, c. 11, ss. , pp. 27-49, 2015, doi: 10.1007/s11416-014-0231-x.
14. Bertoglio, D. D. ve A. F. Zorzo, “Overview and open issues on penetration test”, Journal of the Brazilian Computer Society, c. 23, sy 1, ss. , pp. 1-16, Ara. 2017, doi: 10.1186/S13173-017-0051-1/FIGURES/6.
15. Adam, H. M., Widyawan, ve G. D. Putra, “A Review of Penetration Testing Frameworks, Tools, and Application Areas”, içinde Proceedings - 2023 IEEE 7th International Conference on Information Technology, Information Systems and Electrical Engineering, ICITISEE 2023, Institute of Electrical and Electronics Engineers Inc., 2023, ss. , pp. 319-324. doi: 10.1109/ICITISEE58992.2023.10404397.
16. Shanley, A., “Penetration Testing Frameworks and methodologies: A comparison and evaluation”, Edith Cowan University, 2016. Erişim: 11 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://ro.ecu.edu.au/theses_hons/1553
17. Sarker, K. U., F. Yunus, ve A. Deraman, “Penetration Taxonomy: A Systematic Review on the Penetration Process, Framework, Standards, Tools, and Scoring Methods”, 01 Temmuz 2023, Multidisciplinary Digital Publishing Institute (MDPI). doi: 10.3390/su151310471.
18. Haq, I. U. ve T. A. Khan, “Penetration Frameworks and Development Issues in Secure Mobile Application Development: A Systematic Literature Review”, IEEE Access, c. 9, ss. , pp. 87806-87825, 2021, doi: 10.1109/ACCESS.2021.3088229.
19. Wen, S.-F., A. Shukla, ve · Basel Katt, “Artificial intelligence for system security assurance: A systematic literature review”, International Journal of Information Security 2024 24:1, c. 24, sy 1, ss. , pp. 1-42, Ara. 2024, doi: 10.1007/S10207-024-00959-0.
20. VURAL, Y. ve Ş. SAĞIROĞLU, “Kurumsal Bilgi Güvenliğinde Güvenlik Testleri ve Öneriler”, J. Fac. Eng. Arch. Gazi Univ., c. 26, sy 1, ss. , pp. 89-103, 2011.
21. YILMAZ, E. N., S. GÖNEN, S. ŞANOĞLU, G. KARACAYILMAZ, ve Ö. ÖZBİRİNCİ, “Endüstri 4.0’ın Gelişim Sürecinde Unutulan Bileşen: Siber Güvenlik”, Düzce Üniversitesi Bilim ve Teknoloji Dergisi, c. 9, sy 4, ss. , pp. 1142-1158, Tem. 2021, doi: 10.29130/dubited.905340.
22. Tulgar, M., A. Halim ZAİM, M. Ali AYDIN, ve G. Tarihi, “ULUSAL BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİ: IoT GÜVENLİĞİ İÇİN BİR UYGULAMA ÖRNEĞİ”, İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi, c. 21, sy 42, ss. , pp. 353-382, Ara. 2022, doi: 10.55071/TICARETFBD.1141795.
23. Of, M., “Siber Güvenlik Üzerine Bir Araştırma: Yazılım Güvenliği”, Bayburt Üniversitesi Fen Bilimleri Dergisi, c. 2, sy 2, ss. , pp. 254-260, Ara. 2019, Erişim: 06 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://dergipark.org.tr/en/pub/bufbd/issue/50962/653374
24. Aydoğdu, D. ve M. S. Gündüz, “Web Uygulama Güvenliği Açıklıkları ve Güvenlik Çözümleri Üzerine Bir Araştırma”, Uluslararası Bilgi Güvenliği Mühendisliği Dergisi, c. 2, sy 1, ss. , pp. 1-7, Haz. 2016, doi: 10.18640/UBGMD.56836.
25. Yalçınkaya, M. A. ve E. Küçüksille, “Web Uygulama Sızma Testlerinde Kapsam Genişletme İşlemi İçin Metodoloji Geliştirilmesi ve Uygulanması”, Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü Dergisi, c. 25, sy 1, ss. , pp. 16-27, Nis. 2021, doi: 10.19113/sdufenbed.661867.
26. Senturk, Z. ve E. Irmak, “Windows Aktif Dizin Etki Alanı Servisi ve Kurumsal Ağ Güvenliği: PowerShell Erişiminin Analizi ve Önlemler”, Gazi Üniversitesi Fen Bilimleri Dergisi Part C: Tasarım ve Teknoloji, Eyl. 2024, doi: 10.29109/gujsc.1447924.
27. Kestane, A. ve G. Kurt, “Bulut güvenlik denetimi: Bulut siber güvenlik uygulamalarında iç denetim”, Ömer Halisdemir Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, c. 17, sy 3, ss. , pp. 667-690, Tem. 2024, doi: 10.25287/ohuiibf.1482734.
28. Scarfone, K., M. Souppaya, A. Cody, ve A. Orebaugh, “Guideline on network security testing - Special Publication 800-115”, National Institute of Standards, 2008, Erişim: 13 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf
29. Geer, D. ve J. Harthorne, “Penetration testing: A duet”, 18th Annual Computer Security Applications Conference, ACSAC, c. 2002-January, ss. , pp. 185-195, 2002, doi: 10.1109/CSAC.2002.1176290.
30. Leeuw, K. ve J. Bergstra, The history of information security : a comprehensive handbook. Elsevier, 2007. Erişim: 16 Mart 2024. [Çevrimiçi]. Erişim adresi: https://books.google.com.tr/books/about/The_History_of_Information_Security.html?id=pQBrsonDp6cC&redir_esc=y
31. Tabibian, O. R., Internet Scanner Finds Security Holes. PC Magazine, 1996. Erişim: 16 Mart 2024. [Çevrimiçi]. Erişim adresi: https://books.google.com/books?id=LYp7r6OrMdIC&pg=PA536
32. Raju, R., “A Literature Survey on System Security and Network Vulnerability Assessment”, International Journal of Scientific Research in Engineering and Management, c. 08, sy 04, ss. , pp. 1-5, Nis. 2024, doi: 10.55041/IJSREM29695.
33. Dehghantanha, A., A. Yazdinejad, ve R. M. Parizi, “Autonomous Cybersecurity: Evolving Challenges, Emerging Opportunities, and Future Research Trajectories”, AutonomousCyber 2024 - Proceedings of the Workshop on Autonomous Cybersecurity, Co-Located with: CCS 2024, c. 10, sy 24, ss. , pp. 1-10, Kas. 2024, doi: 10.1145/3689933.3690832.
34. Roesch, M., “Snort - Network Intrusion Detection & Prevention System”, Snort. Erişim: 17 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://www.snort.org/
35. Alkhurayyif, Y. ve Y. Saad Almarshdy, “Adopting Automated Penetration Testing Tools”, Journal of Information Security and Cybercrimes Research, c. 7, sy 1, ss. , pp. 51-66, Haz. 2024, doi: 10.26735/rjjt2453.
36. Khan, M. E. ve F. Khan, “A Comparative Study of White Box, Black Box and Grey Box Testing Techniques”, (IJACSA) International Journal of Advanced Computer Science and Applications, c. 3, sy 6, 2012, [Çevrimiçi]. Erişim adresi: www.ijacsa.thesai.org
37. Reed, K. ve T. Murnane, “On the Effectiveness of Mutation Analysis as a Black Box Testing Technique”, içinde Proceedings of the Australian Software Engineering Conference, ASWEC, IEEE Computer Society, 2001. doi: 10.1109/ASWEC.2001.948492.
38. Sarker, K. U., F. Yunus, ve A. Deraman, “Penetration Taxonomy: A Systematic Review on the Penetration Process, Framework, Standards, Tools, and Scoring Methods”, Sustainability 2023, Vol. 15, Page 10471, c. 15, sy 13, s. , pp. 10471, Tem. 2023, doi: 10.3390/SU151310471.
39. Saxena, R. ve M. Singh, “Gray Box Testing: Proactive Methodology for the Future Design of Test Cases to Reduce Overall System Cost”, c. 1, sy 8, ss. , pp. 62-66, 2014, Erişim: 04 Mayıs 2025. [Çevrimiçi]. Erişim adresi: http://www.krishisanskriti.org/jbaer.html
40. OWASP, “OWASP Web Security Testing Guide”, OWASP Foundation. Erişim: 12 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://owasp.org/www-project-web-security-testing-guide/
41. Vieira, M. ve B. Sousa, “Evaluation Of Static Analysis Tools In Detecting OWASP Top 10 Vulnerabilities”, Master Thesis, Technology of the University of Coimbra, 2024. Erişim: 12 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://hdl.handle.net/10316/118126
42. Herzog, P., “The Open Source Security Testing Methodology Manual (Version 3.0)”, Institute for Security and Open Methodologies (ISECOM), 2010.
43. Prandini, M. ve M. Ramilli, “Towards a practical and effective security testing methodology”, içinde IEEE Symposium on Computers and Communications (ISCC), 2010, ss. , pp. 320-325. doi: 10.1109/ISCC.2010.5546813.
44. Abu-Dabaseh, F. ve E. Alshammari, “Automated Penetration Testing: An Overview”, Academy and Industry Research Collaboration Center (AIRCC), ss. , pp. 121-129, 2018, doi: 10.5121/csit.2018.80610.
45. Ceylan, M. F., “Makine öğrenmesi ile adres çözümleme protokolü sahteciliğinin tespiti”, Master’s thesis, Balıkesir Üniversitesi, Fen Bilimleri Enstitüsü, 2024. Erişim: 22 Şubat 2025. [Çevrimiçi]. Erişim adresi: https://dspace.balikesir.edu.tr/xmlui/handle/20.500.12462/15943
46. OISSG, “Information Systems Security Assessment Framework (ISSAF) draft 0.2”, 2005. [Çevrimiçi]. Erişim adresi: https://untrustednetwork.net/files/issaf0.2.1.pdf
47. Wack, J., M. Souppaya, ve M. Tracy, “Guideline on Network Security Testing - Special Publication 800-42”, National Institute of Standards, Eki. 2003, doi: 10.6028/NIST.SP.800-42.
48. Chu, G., “Automation of Penetration Testing”, Doctoral dissertation, The University of Liverpool, 2021.
49. Lachkov, P., L. Tawalbeh, ve S. Bhatt, “Vulnerability Assessment for Applications Security Through Penetration Simulation and Testing”, Journal of Web Engineering, c. 21, sy 7, ss. , pp. 2187-2208, 2022, doi: 10.13052/JWE1540-9589.2178.
50. Laxmi Kowta, A. S., K. Bhowmick, J. R. Kaur, ve N. Jeyanthi, “Analysis and overview of information gathering tools for pentesting”, 2021 International Conference on Computer Communication and Informatics, ICCCI 2021, c. 2021-January, Oca. 2021, doi: 10.1109/ICCCI50826.2021.9457015.
51. Zografopoulos, I., J. Ospina, X. Liu, ve C. Konstantinou, “Cyber-Physical Energy Systems Security: Threat Modeling, Risk Assessment, Resources, Metrics, and Case Studies”, IEEE Access, c. 9, ss. , pp. 29775-29818, 2021, doi: 10.1109/ACCESS.2021.3058403.
52. Altulaihan, E. A., A. Alismail, ve M. Frikha, “A Survey on Web Application Penetration Testing”, Electronics (Switzerland), c. 12, sy 5, Mar. 2023, doi: 10.3390/ELECTRONICS12051229.
53. Halfond, W. G. J., J. Viegas, ve A. Orso, “A Classification of SQL Injection Attacks and Countermeasures”, ISSSE, 2006.
54. Lin, H., Z. Yan, Y. Chen, ve L. Zhang, “A Survey on Network Security-Related Data Collection Technologies”, IEEE Access, c. 6, ss. , pp. 18345-18365, Mar. 2018, doi: 10.1109/ACCESS.2018.2817921.
55. Parry, J., D. Hunter, K. Radke, ve C. Fidge, “A network forensics tool for precise data packet capture and replay in cyber-physical systems”, ACM International Conference Proceeding Series, c. 01-05-February-2016, Şub. 2016, doi: 10.1145/2843043.2843047;TOPIC:TOPIC:CONFERENCE-COLLECTIONS>AUS-CSW;JOURNAL:JOURNAL:ACMOTHERCONFERENCES;CTYPE:STRING:BOOK.
56. Wang, L. ve A. M. Wyglinski, “Detection of man-in-The-middle attacks using physical layer wireless security techniques”, Wireless Communications and Mobile Computing, c. 16, sy 4, ss. , pp. 408-426, Mar. 2016, doi: 10.1002/WCM.2527;CTYPE:STRING:JOURNAL.
57. Ylli, E. ve J. Fejzaj, “Man in the Middle: Attack and Protection”, içinde RTA-CSIT, 2021, ss. , pp. 198-204.
58. Jaafar, G. A., S. M. Abdullah, ve S. Ismail, “Review of Recent Detection Methods for HTTP DDoS Attack”, 2019, Hindawi Limited. doi: 10.1155/2019/1283472.
59. Bosnjak, L., J. Sres, ve B. Brumen, “Brute-force and dictionary attack on hashed real-world passwords”, içinde 41st International Convention on Information and Communication Technology, Institute of Electrical and Electronics Engineers Inc., Haz. 2018, ss. , pp. 1161-1166. doi: 10.23919/MIPRO.2018.8400211.
60. Islam, S., “Security Auditing Tools: A Comparative Study”, International Journal of Computing Sciences Research, c. 5, sy 1, ss. , pp. 407-425, Oca. 2021, doi: 10.25147/ijcsr.2017.001.1.49.
61. Sarmah, U., D. K. Bhattacharyya, ve J. K. Kalita, “A survey of detection methods for XSS attacks”, Journal of Network and Computer Applications, c. 118, ss. , pp. 113-143, Eyl. 2018, doi: 10.1016/j.jnca.2018.06.004.
62. Rodríguez, G. E., J. G. Torres, P. Flores, ve D. E. Benavides, “Cross-site scripting (XSS) attacks and mitigation: A survey”, Computer Networks, c. 166, s. , pp. 106960, Oca. 2020, doi: 10.1016/J.COMNET.2019.106960.
63. Cichonski, P., T. Millar, T. Grance, ve K. Scarfone, NIST - Computer Security Incident Handling Guide. 2025. doi: 10.6028/NIST.SP.800-61r3.
64. “CVE - Common Vulnerabilities and Exposures”. Erişim: 02 Mayıs 2025. [Çevrimiçi]. Erişim adresi: https://cve.mitre.org/
65. Maris, A., A. Kundu, ve A. Yoon, Common Vulnerability Scoring System version 3.1 Specification Document Revision 1. 2024. Erişim: 02 Mayıs 2025. [Çevrimiçi]. Erişim adresi: https://www.first.org/cvss/
66. National Institute of Standards and Technology (NIST), “National Vulnerability Database (NVD)”. Erişim: 02 Mayıs 2025. [Çevrimiçi]. Erişim adresi: https://nvd.nist.gov/