Sızma Testlerinde Kullanılan Zafiyet, İstismar ve Payload Kavramları

Yazarı:
Ertuğrul BAŞARANOĞLU
-
0
1615
views
Sızma testleri sırasında zafiyet (vulnerability), istismar (exploit) ve payload kavramları karışabilmektedir. Bu yazıda zafiyet, istismar ve payload kavramlarının birbiriyle ilişkisi incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Zafiyet, exploit ve payload kavramları arasındaki ilişki için aşağıdaki resim kullanılabilir.
vulnerability-exploit-and-payload-concepts-in-penetration-testing-01

  • Yukarıdaki resimde zafiyet insandan kaynaklıdır. İnsanın karşısındakine inanması, daha çok getiri elde etme düşüncesi (hırsı) birer zafiyettir.
  • İstismar ise, insandaki zafiyeti kötüye kullanma yöntemidir. Örneğin, insandaki hırsı kullanarak sosyal mühendislik teknikleri ile istismar etmektir.
  • Payload ise; insana ait zafiyetlerin sömürülmesi sonucunda gerçekleştirilen eylemlerin (EFT yapma, parayı çekme, hesabı bloke etme, …) her biridir.

 

Daha teknik olarak da “Vulnerability in Server Service Could Allow Remote Code Execution (958644)” bir zafiyet, Metasploit ana çatısındaki “exploit/windows/smb/ms08_067_netapi” bir istismar yöntemi/kodu, istismar sonucunda elde edilen meterpreter kabuğu ise bir payload olarak tanımlanabilir.

 

İlişkili Yazılar:
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Benzer YazılarYAZARIN DİĞER İÇERİKLERİ

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.