Uyum Raporlama ve Penetrasyon Testi Standartları
Standartlar ve Uyum:
Değerlendirme ve raporlama süreçleri TSE, BDDK, ISO/IEC 27001:2017, ISAE 3402, NIST, PCI DSS, SoX/COBIT ve SAS 70 standartlarına uygun şekilde gerçekleştirilecektir. Tüm denetimler, Esbilgi Güvenlik Denetimi tekniklerine uygun olarak OWASP ve OSSTMM standartlarını karşılayacak şekilde yürütülecektir.
Penetrasyon Testi Kapsamı:
Denetime tabi tüm sunucular ve ağ cihazları, OWASP, OSSTMM ve ilgili güvenlik standartlarına uygun olarak zayıflık analizine ve penetrasyon testlerine tabi tutulacaktır.
HTTP, DNS, SMTP, POP3, FTP, IMAP, TELNET, SSH ve SSL gibi hizmet, uygulama ve protokollerin tümü manuel olarak zayıflık analizi için incelenecektir.
Konfigürasyon Hataları ve Eksiklikler:
Hem yerel hem de uzaktan ağ üzerinden tespit edilebilecek tüm konfigürasyon hataları ve eksiklikler belirlenecektir.
Web Uygulama Güvenliği:
Web tabanlı uygulamalar ve bağlı veritabanlarının güvenliği detaylı bir şekilde test edilecektir.
Tüm testler OWASP, OSSTMM, BDDK ve TSE standartlarına uygun şekilde ve Esbilgi Güvenlik Denetimi metodolojilerine göre yürütülecektir.
Web tabanlı saldırı tekniklerine yönelik manuel değerlendirmeler, şu başlıkları kapsayacaktır:
CSS (Çapraz Site Betikleme)
XSS (Çapraz Site Komut Dosyası Çalıştırma)
SQL Injection
CSRF (Çapraz Site İstek Sahteciliği)
Kimlik doğrulama ve oturum yanıltma
Karakter filtreleme problemleri
Parametre manipülasyonu
Çerez (cookie) manipülasyonu
Yetki Yükseltme ve Kullanıcı Rolleri İstismarı:
Sistem üzerindeki yetki yükseltme riskleri, kullanıcılar ve veritabanları ile sunucular arasındaki etkileşimler incelenerek değerlendirilecektir.
Normal bir ziyaretçi ve yetkili kullanıcı perspektifinden, kullanıcı-sunucu etkileşimlerine dair tüm zayıflıklar manuel olarak kontrol edilecektir.
