Back to Research
Rehber

Black Box, White Box ve Grey Box Pentest Arasındaki Farklar: Hangisini Seçmelisiniz?

Mustafa DemircanJunior Pentester
April 6, 2026
4 min read

Şirketiniz için bir saldırı simülasyonu planladığınızda, siber güvenlik firmalarından şu klasik soruyu duyacaksınız: "Yaklaşımımız Black Box mı, White Box mı yoksa Grey Box mı olsun?" Bu terimler sızma testini (pentest) gerçekleştirecek olan ekibin (veya ajanın), sistemleriniz hakkında baştan ne kadar bilgi sahibi olacağını ifade eder.

En Kısa Cevap:

  • Black Box: Testi yapacak kişiye hiçbir bilgi (kod veya şifre) verilmez. Gerçek bir dışarıdan hacker simülasyonudur.
  • White Box: Ekibe kaynak kodu, mimari diyagramlar ve yönetici (admin) erişimleri dahil her şey verilir. İçeriden ve en kapsamlı teşhistir.
  • Grey Box: İkisinin arasıdır. Ekibe standart bir düşük yetkili kullanıcı hesabı veya test senaryosunu hızlandıracak kısmı bilgiler sağlanır.

Hangi yöntemi seçeceğiniz bütçenize, hedefinize ve şirketin güvenlik olgunluğuna (Security Maturity) bağlıdır. Her birinin detaylarına ve kurumsal şirketler için hangisinin daha karlı olduğuna derinlemesine bakalım.

1. Black Box (Siyah Kutu) Sızma Testi

Siyah Kutu yaklaşımında hedef, sistemin gerçek bir tehdit aktörü tarafından ele alınıp alınamayacağını görmektir. Saldırgan (veya Eresus Security AI Ajanları) sadece şirketinizin IP adresini veya web sitesi domain ismini bilir.

  • Amaç: Gerçekçi dış tehdit yüzeyini ölçmek. Siber korsanlar içeriye hangi çatlaklardan sızabilir?
  • Avantajları: Hackerların gerçekten ne yapabildiğini görürsünüz. BT ekiplerinizin gerçek bir alarm durumu karşısındaki tepki süresini (Incident Response) ölçmek için kusursuzdur.
  • Dezavantajları: Zaman kısıtlaması nedeniyle yavaştır. Uzmanlar zamanlarının büyük bir kısmını sistemi anlamak (Keşif/Reconnaissance) için harcarlar. Ayrıca, sistemin sadece belirli bir dış kısmı taranabilir, derinlere gömülü mantıksal hatalar gözden kaçabilir.

Ne Zaman Kullanılmalı? Kurumsal ağın dış çevre güvenliğini (Perimeter Security) ve WAF/Güvenlik Duvarı gibi savunma hatlarını test etmek istediğinizde.

2. White Box (Beyaz Kutu) Sızma Testi

Glass Box (Cam Kutu) olarak da bilinen bu yöntemde hiçbir gizlilik yoktur. Pentester'lar sistemin kaynak koduna, API dökümanlarına, geliştirici ortamlarına ve sunucu konfigürasyonlarına sınırsız erişim sağlarlar.

  • Amaç: Koddaki ve mimarideki "karanlık köşeleri" aydınlatmak, sistemin yapısını kalıcı olarak sağlamlaştırmak.
  • Avantajları: Test edilecek yüzeyde hiçbir kör nokta kalmaz. Zaman kaybı yaşanmadan, doğrudan kod mantığındaki zafiyetlerin üzerine gidilir. Geliştiriciler (Developers) ile yan yana çalışılarak, hatanın kaynağı anında düzeltilebilir.
  • Dezavantajları: Gerçek bir hacker saldırısını simüle etmez (Çünkü gerçek bir hacker'ın elinde sunucu kodları olmaz). Bilgi yığını çok büyük olduğu için, manuel yapıldığında geleneksel firmalar için oldukça pahalı ve haftalarca süren bir süreçtir.

Ne Zaman Kullanılmalı? Temel bir finansal uygulama (Fintech), akıllı sözleşme (Smart Contract) veya kritik bir mikroservis mimarisi canlıya alınmadan önce (Shift-Left ortamında).

3. Grey Box (Gri Kutu) Sızma Testi

Endüstrideki en yaygın ve en dengeleyici yöntemdir. Pentester'lara, sistemin arkasındaki kod veya şifreleme anahtarları verilmez ancak sisteme kayıt olmuş normal bir "Müşteri" veya "Düşük Yetkili Çalışan" hesabı tanımlanır.

  • Amaç: Yetkisiz bir kullanıcının içeriden verileri ne kadar çalabileceğini veya ayrıcalık yükselttiğini (Privilege Escalation) görmek. Örneğin: Standart bir kullanıcı hesabıyla başka birisinin kredi kartı detaylarına ulaşılabilir mi? (BOLA Zafiyeti).
  • Avantajları: En zaman/maliyet odaklı (Cost-effective) yöntemdir. Keşif adımında kaybedilecek haftalar kurtarılırken, aynı zamanda dışarıya kapalı API'ler üzerinde detaylı test yapma imkanı tanır.

Karşılaştırma Tablosu

| Özellik | Black Box (Siyah) | Grey Box (Gri) | White Box (Beyaz) | | :--- | :--- | :--- | :--- | | Ön Bilgi Seviyesi | Hiçbiri (Sadece Hedef) | Sınırlı (Örn: Kullanıcı hesabı) | Tam (Kaynak Kodu, Mimari) | | Gereken Zaman | Uzun (Keşif zaman alır) | Orta | Uzun (Aşırı detaylıdır) | | Gerçekçilik | Oran: %100 (Gerçek Dış Tehdit) | Oran: %70 (İçeriden / Kullanıcı Tehdidi) | Oran: %20 (İç Denetim) | | Odak Alanı | Ağ Çevresi, Yüzey Güvenliği | Yetki Yükseltme, İş Mantıkları | Kod Zafiyetleri, CI/CD, Güvenli Yazılım |

Modern Çözüm: Ajan Tabanlı (Agentic) Sızma Testi

Şirketiniz geleneksel bir siber güvenlik firmasıyla anlaştığında, bir White Box testi talep ediyorsanız muhtemelen haftalarca bekleyecek ve devasa bir bütçe ayıracaksınız.

Eğer sisteminizi test eden yapı Eresus Security'nin Otonom Ajanlarıysa, ister Black Box ister White Box olsun süreç tamamen devrimseldir:

  1. Dinamik Uyarlanabilirlik: Ajanlar doğrudan GitHub veya DevOps boru hatlarınıza (White Box) entegre olarak saniyeler içinde tüm kodu analiz eder.
  2. Otonom Grey Box Deneyimi: Sisteminize verdiğiniz yetkili hesapları alarak, manuel insan hatalarından arındırılmış bir şekilde milyonlarca potansiyel iş mantığı (Business Logic) hatasını paralelde test eder.

Bir sonraki sızma testinizin kutusu hangi renk olursa olsun, otonom güvenliğin hız ve tasarrufundan faydalanmak için hemen Eresus Security ile iletişime geçin.