Black/Grey/White-Box Sızma Testi Nasıl Seçilir?

Hedef, süre, risk ve ekip olgunluğuna göre uygun test yaklaşımını belirleme rehberi.

Black Grey White Box sızma testi yaklaşımı kapak
Black • Grey • White — Doğru yaklaşımı seç

Kısaca

  • Black-box: Gerçek saldırgan bakışı — sınırlı zaman ve bilgi.
  • Grey-box: Kısmi bilgi ile odaklı kapsam ve daha derin doğrulama.
  • White-box: Kaynak/erişim ile maksimum kapsam ve kök sebep odaklılık.

Özet Anlatım

Doğru sızma testi modeli, amacınıza göre değişir: Gerçekçi saldırı simülasyonu istiyorsanız black-box, hızlı geri bildirim ve belirli kritik akışları doğrulamak istiyorsanız grey-box, kod kalitesi ve kök nedenleri hedefliyorsanız white-box yaklaşımı tercih edilir. Kurum içi olgunluk ve takvim baskısı da seçimi doğrudan etkiler.

Kısaltmalar
  • PT: Penetrasyon testi (sızma testi).
  • SoW: Kapsam ve iş tanımı dokümanı.
  • PoC: Kavram kanıtı; bulgunun tekrar eden, kanıtlanabilir hali.

Karşılaştırma ve Senaryolar

  • Saldırgan simulasyonu: Black-box en gerçekçi; geniş yüzey ve sosyal mühendislik hariç.
  • Regülasyon/denetim: Grey-box ile kritik akışlar daha güvenilir doğrulanır.
  • Kod kalitesi/kök sebep: White-box ile hızlı tespit ve kalıcı çözüm.

Sık Yapılan Hatalar

  • Yanlış model seçimiyle ya çok yüzeysel ya da gerçekçi olmayan sonuç.
  • İzin/onay ve iletişim planının eksikliği.
  • Başarı kriterlerinin ölçülemez yazılması.

Pratik Rehber

Önce “neden test ediyoruz?” sorusunun cevabını yazın. Gerçek saldırgan davranışlarını görmek istiyorsanız black-box, geliştirme sürecine hızlı geri bildirim istiyorsanız grey-box, derin teknik borçları bulup düzeltmek istiyorsanız white-box size uygundur. Seçiminizi takviminiz, bütçeniz ve regülasyonlar şekillendirir.

Adım adım:

  1. Hedefi ve başarı kriterini netleştirin. “3 kritik bulgu” mu, yoksa “iş mantığı istismarını kanıtlamak” mı?
  2. Zaman/bütçe kısıtını yazılı hale getirin. 5 gününüz varsa black-box yerine grey-box ile odaklanmak daha verimli olabilir.
  3. Uyum gerekliliklerini kontrol edin. Bazı denetimler belirli kapsam/derinlik ister; modeli buna göre seçin.
  4. İç bilgiye erişimi planlayın. Grey/white-box için erişim ve test verisi gereksinimlerini önceden onaylatın.

Örnek: CI/CD hattında her ana sürüm öncesi 2 günlük grey-box test, çeyrekte bir kez 1–2 haftalık white-box kod/audit ile tamamlanabilir. Yıl içinde bir kez de black-box kampanya ile dış yüzeyin dayanıklılığı ölçülür.

Kapsam Belirleme OWASP Checklist