- Black-box: Pentester sıfır bilgiyle başlar — saldırganın gerçek bakış açısını taklit eder.
- Gray-box: Pentester’a kullanıcı seviyesinde bilgi/erişim verilir — denge yaklaşımıdır.
- White-box: Pentester’a tam erişim (kaynak kod, mimari, kimlik) sağlanır — en derin sonucu üretir.
- Türkiye’de orta-büyük kurumların çoğu gray-box tercih eder; gerçeklik + derinlik dengesi.
- İdeal: aynı projede black-box ardından gray-box kombinasyonu.
Pentester’a sözleşmeyi imzalamadan önce iki temel soru sorulur: Ne kadar bilgi verecekler? ve Ne kadar erişim? Bu iki sorunun cevabı pentest yaklaşımını belirler. Üç temel seçenek vardır ve hangisini seçtiğiniz testin sonucunu doğrudan etkiler.
Black-Box Pentest
Pentester sadece kurumun adıyla başlar. IP listesi yok, kullanıcı hesabı yok, mimari diyagram yok. Saldırganın gerçek perspektifinden hareket eder.
- Avantaj: Gerçek dünya saldırı senaryosunu birebir taklit eder.
- Dezavantaj: Süre kısıtlı olduğunda sığ kalır; gerçek bir saldırgan aylarca araştırabilir.
- Uygun olduğu senaryolar: Genel saldırı yüzeyini test, dış ağ ve OSINT etkisini ölçme.
Gray-Box Pentest
Pentester’a sınırlı bilgi verilir: bir kullanıcı hesabı, ağ aralığı, kullanılan teknoloji bilgisi. “İçeride yarım gün dolaşmış bir saldırgan ya da kötü niyetli bir çalışan” senaryosunu canlandırır.
- Avantaj: Hem saldırgan perspektifi hem yeterli derinlik. Süre verimli kullanılır.
- Dezavantaj: Ne tam saldırgan ne tam içeriden bakış — ortayı yakalar.
- Uygun olduğu senaryolar: Kurumsal web uygulamaları, AD ortamı, kullanıcı yetkilendirmesi olan SaaS.
White-Box Pentest
Her şey açık: kaynak kod, mimari diyagram, admin yetkili hesap, ağ topolojisi. Hedef en derin teknik denetim.
- Avantaj: En derin bulgular, kaynak kodda gözden kaçan iş mantığı hataları çıkar.
- Dezavantaj: “Gerçek saldırgan” senaryosunu temsil etmez; bilgi avantajı yapay.
- Uygun olduğu senaryolar: Kritik finansal modüller, yeni geliştirilen yazılım sürümleri, kaynak kod inceleme aşaması.
TSE Onaylı Sızma Testi Düşünüyorsanız
Belgesert; 15+ yıl deneyim, TSE A Sınıfı sertifikası ve TS 13638 standardına uygun raporlama ile şirketinizin pentest sürecini titizlikle yürütür. Ön görüşme ücretsizdir.
Ücretsiz Keşif Görüşmesi Talep Et →Karşılaştırma Tablosu
| Kriter | Black-Box | Gray-Box | White-Box |
|---|---|---|---|
| Bilgi düzeyi | Sıfır | Kısmi | Tam |
| Saldırgan benzerliği | Yüksek | Orta | Düşük |
| Bulgu derinliği | Yüzeysel | Orta-Derin | En derin |
| Süre verimliliği | Düşük | Yüksek | Orta |
| Tipik kullanım | Yıllık dış ağ | Kurumsal portal | Yeni ürün öncesi |
Sıkça Sorulan Sorular
Black-box test daha mı gerçekçi?
Saldırgan senaryosunu daha iyi simüle eder, ama her zaman daha ‘yararlı’ anlamına gelmez. Sınırlı sürede sığ kalabilir.
White-box pentest yetersiz olur mu?
Aksine; daha derin bulgular çıkarır. Ama kurum için ‘gerçek dünya’ senaryosunu eksik temsil edebilir.
Hangi yaklaşım en yaygın?
Türkiye’de orta-büyük kurumlarda gray-box en sık tercih edilen yaklaşımdır — derinlik ve gerçeklik dengesi sunar.
Aynı projede ikisini birden yapabilir miyim?
Evet, hatta önerilir. İlk hafta black-box ile saldırgan perspektifi, sonraki hafta gray-box ile kapsamlı tarama.
Bizim Pratikten Notumuz
Bir banka projesinde ilk hafta black-box ile başladık. 5. günde dış yüzeyde anlamlı bulgu yoktu. Sözleşmede ikinci aşama olarak gray-box vardı; geçtiğimizde 2 günde domain admin’e çıktık. İki yaklaşımı birleştirmeseydik müşteri “dış yüzeyimiz çok güvenli” yanılgısıyla yıla başlayacaktı. Hibrit yaklaşım — başta black-box, sonra gray-box — Türk kurumları için çoğunlukla en iyi sonucu veren formül.
Hangi yaklaşımın projeniz için daha uygun olduğunu birlikte konuşmak isterseniz, iletişim formundan ulaşabilirsiniz.