Sızma Testi (Penetration Testing)
Saldırganın yapacağını biz önce yaparız.
OWASP, PTES ve NIST referanslı manuel sızma testi. Sertifikalı pentester ekibi web uygulamanızı, API'nizi, mobil uygulamanızı, bulutunuzu ve dış/iç ağınızı gerçek bir saldırgan gibi zorlar. Otomatik tarayıcının asla yakalayamayacağı iş mantığı açıklarını, zincirleme exploit'leri ve yetki sıçramalarını elle bulup kanıtlı bir raporla teslim ederiz.
Bir tarayıcı çalıştırıp PDF üreten bir hizmet değil. Bir saldırganın günlerini sizin sisteminizde geçirmesini simüle eden, sonuçları kanıtlanabilir ve düzeltildikten sonra yeniden test edilen bir disiplindir.
280+
Pentest projesi
CVSS3.1
Risk skoru
OSCP/CEH
Sertifikalar
nmap -sV -p- target.partnerfy.co
443/tcp open https nginx 1.18.0 — TLS 1.2
22/tcp open ssh OpenSSH 7.4 (legacy)
gobuster dir -u https://target -w common.txt
/admin (Status: 200) [Size: 4821]
/api/v1/users (Status: 401) [Size: 38]
/.git/config (Status: 200) [Size: 263]
sqlmap -u 'target/login' --data 'u=a&p=b'
[INFO] testing 'AND boolean-based blind'
[INFO] parameter 'u' is vulnerable
[CRITICAL] SQL Injection — CVE-2024-XXXX — CVSS 9.8
Saldırı zinciri
MITRE ATT&CK
Pentest Raporu — Bulgular
RPT-2026-0541
Login formunda SQL Injection
CVSS 9.8
CRIT
JWT secret zayıf — brute-force
CVSS 9.1
CRIT
IDOR — /api/v1/users/{id}
CVSS 8.2
HIGH
Stored XSS — yorum alanı
CVSS 7.4
HIGH
CORS yanlış yapılandırılmış
CVSS 6.1
MED
HSTS başlığı eksik
CVSS 3.7
LOW
FIXED
Sorun
Otomatik tarayıcı neden yetmez?
Nessus, Acunetix, OWASP ZAP gibi tarayıcılar yardımcıdır — ama bir saldırganın yerini tutmaz. Çünkü saldırgan zincirleme düşünür, sizin iş kurallarınızı okuyup tersine işletir, false-positive'i bir kenara bırakıp asıl giriş kapısını bulur. Tarayıcı bir kontrol listesi denetimiyle çalışır; bir pentester ise sizin sisteminize özgü hipotezler kurar.
Zincirleme exploit yok
Tarayıcı tek bulguyu izole gösterir; bir saldırgan üç düşük bulguyu birleştirip kritik bir yola dönüştürür.
İş mantığı görmez
"Sipariş tutarını -1 ile çarp" gibi mantıksal bir hatayı bir tarayıcı asla yakalayamaz.
Yaratıcılık yok
Pentester sizin uygulamanıza özel hipotezler kurar; tarayıcı sadece imza arar.
False-positive yığını
500 sayfalık tarayıcı raporunun %70'i gürültüdür. Bir pentester her bulguyu eliyle doğrular.
Yetki sınırı bilinmez
"Bu kullanıcı bu kaydı görmemeli" kuralını sadece kapsamı bilen biri test edebilir.
CAPTCHA & WAF düşürmez
Saldırgan WAF'ı bypass eder; tarayıcı 403 gördüğünde durur.
Sosyal mühendislik yok
Asıl giriş bazen bir e-postadır. Phishing simülasyonunu tarayıcı çalıştıramaz.
İz silme test edilmez
Saldırgan iz bırakmayı planlar; SOC takımınızın bunu fark edip etmediği ancak red-team'le ölçülür.
Saldırı görselleştirme
Açık nerede, ne kadar kritik?
Her sızma testinde dönüşümü kolay olsun diye bulguları üç görselle özetliyoruz: kategori bazlı ısı haritası, OWASP Top 10 kontrol listesi ve "tarama → bulma → düzeltme → yeniden test → temiz" zaman çizelgesi.
Açık kategori ısı haritası
Critical
High
Med
Low
XSS
SQLi
Auth
CORS
Crypto
Logic
IDOR
CSRF
SSRF
Upload
Headers
Deps
Her hücre bir kategoridir; içindeki noktalar bulgu sayısını ve şiddetini gösterir. Yöneticiniz bir bakışta riskli bölgeyi görür.
OWASP Top 10 — 2021
Kontrol listesi
- A01 Broken Access Control
- A02 Cryptographic Failures
- A03 Injection (SQL/XSS/Cmd)
- A04 Insecure Design
- A05 Security Misconfiguration
- A06 Vulnerable Components
- A07 Identification & Auth Failures
- A08 Software & Data Integrity
- A09 Logging & Monitoring Failures
- A10 SSRF
Önce vs sonra
Pentest süreci — tarama → bulma → düzeltme → yeniden test → temiz
Her aşama belgeli; her açık kapatıldıktan sonra ücretsiz yeniden test ile doğrulanır.
01
Scan
Otomatik + manuel tarama
02
Find
Doğrulanmış bulgular
03
Fix
Düzeltme önerisi + örnek kod
04
Re-test
Kapama doğrulama
05
Clean
Temiz rapor + sertifika
Kimler için?
Bu pentest kime gerçekten gerekli?
Sızma testi her şirket için zorunlu değildir — ama belirli profillere girdiyseniz, bir gün değil bugün başlamalısınız. İşte tipik 8 profil.
Ödeme alan e-ticaret
Kart verisi, 3DSecure, kupon kötüye kullanımı, fiyat manipülasyonu.
Müşteri verili SaaS
Multi-tenant izolasyon, kullanıcı yetki sınırı, IDOR riski yüksek.
Düzenlemeye tabi fintech
PCI-DSS, BDDK, KVKK — yılda en az bir bağımsız pentest zorunlu.
PHI işleyen sağlık
Hasta verisi, randevu sistemleri, HIPAA / KVKK-S sağlık verisi koruması.
Kamu yüklenicisi
TS 13638 / TSE / DDO denetim öncesi — bağımsız pentest belgesi gerekir.
API entegrasyonlu B2B
Partner API'leri, OAuth flow'ları, kimlik-doğrulama zincirleri.
App Store denetli mobil
Token saklama, Jailbreak/Root tespiti, SSL pinning, MASVS uyumu.
Olay sonrası müşteri
Saldırıdan sonra "başka bir kapı daha açık mı?" sorusuna kanıtlı yanıt.
Hizmet kapsamı
10 farklı pentest yetkinliği — tek ekipten.
Web'den buluta, mobilden fiziksele kadar — saldırı yüzeyinin tamamını kapatan tek bir mühendis kadrosu. İhtiyacınız tek bir uygulama testiyse onu yaparız; tam red-team istiyorsanız onu da.
Dış ağ pentesti
İnternete açık tüm IP'ler, açık portlar, eski servisler.
İç ağ pentesti
Çalışan gibi içeriden — domain admin'e yükseliş senaryosu.
Web uygulama pentesti
OWASP Top 10 + iş mantığı + authz/authn senaryoları.
API pentesti
REST + GraphQL + gRPC; OWASP API Top 10, rate-limit, BOLA.
Mobil uygulama pentesti
iOS + Android, MASVS, Frida, ters mühendislik.
Bulut pentesti (AWS/Azure/GCP)
IAM yanlış yapılandırma, açık bucket, Lambda IAM, K8s RBAC.
Sosyal mühendislik
Phishing kampanyası, vishing, USB-drop, kapsamı çalışanın farkındalığı.
Fiziksel pentest
Ofis girişi, kart kopyalama, kapıcı atlatma, sunucu odasına ulaşım.
Red team engagement
Tam senaryo: e-postadan domain admin'e — SOC'unuz yakalayabilecek mi?
Düzeltme sonrası yeniden test
Düzeltme yaması sonrası açıkların kapandığının ücretsiz doğrulaması.
Süreç
6 adımlı pentest yöntemimiz.
Her engagement aynı disipline tabi: önce kapsam belgesi (RoE), sonra keşif, ardından zafiyet değerlendirmesi, gerçek sömürü, kanıtlı raporlama ve son olarak ücretsiz yeniden test.
01
Kapsam ve Rules of Engagement
Hangi sistemler, hangi senaryolar, izin verilen saatler ve hız sınırı resmi RoE belgesinde imzalanır. Üretim mi staging mi, social-eng dahil mi — netleştirilir.
02
Bilgi toplama (recon)
OSINT, subdomain keşfi, port haritalama, teknoloji parmak izi, sızdırılmış kimlik aramaları. Saldırgan gözüyle yüzeyin fotoğrafı çekilir.
03
Zafiyet değerlendirmesi
Tarayıcı çıktıları manuel olarak filtrelenir, iş mantığı senaryoları tasarlanır. Her bulgu hipoteze dönüştürülür.
04
Sömürü (exploitation)
Hipotezler kanıtlanır: gerçek bir saldırgan gibi zincirleme exploit, yetki sıçraması, veri çıkartma — etik sınırlar içinde, kayıt altında.
05
Raporlama
Yönetici özeti + her bulgu için kanıt + CVSS skoru + öncelikli düzeltme yol haritası. Geliştirme ekibi açıp kod örneğine kadar inebilir.
06
Düzeltme ve yeniden test
Yamalar geldikten sonra (genelde 4-8 hafta) tüm Critical/High bulgular ücretsiz yeniden test edilir; kapanış doğrulanır.
Araç kutusu
Sahada kullandığımız araçlar.
Araç önemlidir; ama araç kullanan akıl daha önemli. Manuel test her zaman tarayıcının önüne geçer.
Burp Suite Pro
OWASP ZAP
Metasploit
Nmap
Nessus
Acunetix
Nuclei
Wireshark
John the Ripper
Hashcat
Cobalt Strike
Postman
ffuf
BloodHound
SQLmap
Frida
MobSF
Kali Linux
Responder
CrackMapExec
Sahadan örnekler
Yakaladığımız gerçek açıklardan birkaçı.
Müşteri adlarını saklı tutuyoruz; teknik detayları paylaşıyoruz. Her örnek, üretime girmeden veya kötüye kullanılmadan önce kapatıldı.
E-ticaret
CRIT
Lansman öncesi SQL Injection
Ürün arama parametresinde blind SQLi — tüm sipariş tablosu çekilebiliyordu. Lansmandan 4 gün önce yakalandı, ORM'ye geçildi.
SaaS
CRIT
Authentication bypass
JWT "alg:none" kabul ediliyordu — saldırgan istediği tenant'a admin olarak girebilirdi.
Banka mobil
CRIT
Token saklamada güvensizlik
Session token plaintext olarak NSUserDefaults'a yazılıyordu — root cihazda okunabiliyordu. Keychain + biometric'e geçildi.
B2B API
HIGH
IDOR — başka şirketin verisi
/api/invoices/{id} endpointi sahiplik kontrolü yapmıyordu; sıralı ID ile rakip şirket faturaları erişilebiliyordu.
Sağlık portalı
HIGH
Reset linki rastgele değildi
Şifre sıfırlama token'ı epoch + user_id'den üretiliyordu; brute-force ile başkasının hesabı ele geçirilebiliyordu.
Kurumsal AWS
MED
Açık S3 bucket
CI/CD log'ları herkese açık bir bucket'a yazıyordu — içinde geçici DB credential'ları vardı.
Sıkça sorulanlar
Pentest hakkında en çok sorulanlar.
Otomatik tarayıcı (Nessus, ZAP, Acunetix vb.) imza tabanlıdır: bilinen örüntüleri arar, sonuçların büyük çoğunluğu false-positive olur ve iş mantığı açıklarını asla yakalayamaz. Pentester ise sizin uygulamanıza özgü hipotezler kurar, zayıf üç noktayı birleştirip kritik bir zincire dönüştürür, yetki sıçramasını elle dener ve yakaladığı her bulguyu reprodüklenebilir adımlarla kanıtlar. Pratikte bir tarayıcı raporundaki "10 critical"ın yarısı yanlış uyarıdır; pentest raporundaki her bulgu sömürülmüş ve kanıtlanmıştır — geliştirme ekibinin tartışmaya gerek kalmaz, doğrudan yamaya geçer.
Üçü de mümkün ve farklı şeyleri ölçer. Black-box, saldırganın sizinle ilgili hiçbir bilgisi yokmuş gibi başlar — gerçek saldırgan deneyimine yakın, ancak zaman ve kapsam maliyeti yüksek. White-box'ta size kaynak kod, mimari diyagramı ve admin hesaplar verilir — birim zamanda en derin testtir, üretim öncesi en uygun. Gray-box ise ortadadır: sıradan kullanıcı hesabı ve genel mimari bilgisiyle başlar; çoğu kurumsal pentest için en pratik orta yoldur çünkü hem dış hem iç saldırgan modellerini aynı engagement'ta kapsayabilir. Doğru seçim hedefe bağlı; ilk toplantıda sizinle birlikte karar veriyoruz.
Doğru yönetilirse hayır. Rules of Engagement (RoE) belgesinde izin verilen saatler, eş zamanlı bağlantı sınırı, kullanılacak izole test hesapları ve yasaklı eylemler (DoS, kalıcı veri silme vb.) net olarak yazılır. Çoğu engagement'ta yıkıcı testler (örn. brute-force kilidi tetikleyen denemeler, payload upload'ları) yalnızca staging'de yapılır; üretimde yalnızca okunabilir kanıt toplanır. Yedek planı her zaman vardır: testten önce snapshot alınır, anomali durumunda mühendiniz aranır. 280+ engagement'ta üretim kesintisi yaşanmadı çünkü disiplin bu disiplini gerektirir.
Kapsama göre değişir. Tek bir web uygulaması için tipik süre 5–10 iş günü; orta büyüklükte bir API engagement'ı 7–12 iş günü; mobil uygulama 8–14 iş günü; tam bir red-team senaryosu 4–8 hafta sürebilir. Bunlara ek olarak yamalar yayınlandıktan sonra (genelde 4–8 hafta içinde) ücretsiz yeniden test yaklaşık 2–3 iş günü alır. Süreyi belirleyen üç şey vardır: kapsamın genişliği, kontrol edilecek role/permission sayısı ve test ortamının erişilebilirliği. İlk toplantıda kapsamı netleştirip net iş günü ve net fiyat veriyoruz; bir daha değişmez.
Rapor üç katmandır. Birincisi, yönetici özeti: 1–2 sayfa, teknik olmayan bir okuyucu için risk tablosu, bulgu sayıları ve genel duruş. İkincisi, teknik bulgu detayları: her bulgu için açıklama, etkilenen bileşen, sömürü adımları ekran görüntüleriyle, CVSS 3.1 skoru ve önerilen düzeltme (örnek kod dahil). Üçüncüsü, öncelikli aksiyon planı: hangi düzeltme önce, hangi sonra — sprint planlamasına uyacak şekilde. Tüm rapor Markdown + PDF formatında teslim edilir; tekrar testten sonra "remediated" notuyla yeniden yayımlanır. Müşterilerimiz bu raporu ISO 27001, SOC 2, PCI-DSS denetimlerine doğrudan sunabiliyor.
Hayır. Ana engagement'ta tespit edilen tüm Critical ve High bulgular için yeniden test ücretsizdir ve sözleşme bedeline dahildir. Tek koşul: yamaların 4–8 hafta içinde (anlaşmaya göre 12 haftaya kadar uzatılabilir) deploy edilmiş olması ve test edilebilir bir ortamın hazır olması. Yeniden test sonunda kapatılan bulgular "remediated" işaretlenir, hâlâ açık olanlar yeniden raporlanır. Bu bizim açımızdan kalite garantisidir: rapor verip ortadan kaybolmuyoruz, kapanışa kadar sahibiz. Medium ve Low bulgular için yeniden test isteğe bağlıdır; ana engagement'ın küçük bir oranı kadar ek bir maliyet çıkar.
Üçünü de aynı engagement'ta kullanıyoruz. Web uygulamaları için OWASP Top 10 (2021) ve OWASP ASVS Level 2; API için OWASP API Top 10; mobil için OWASP MASVS. Metodoloji olarak PTES (Penetration Testing Execution Standard) aşamalarını izliyoruz: pre-engagement, intel gathering, threat modelling, vuln analysis, exploitation, post-exploitation, reporting. Risk skorlaması için CVSS 3.1; raporlama formatında NIST SP 800-115 referansları. ISO 27001, SOC 2, PCI-DSS uyumlu — yani raporumuz denetçinin bekleyeceği yapıdadır. Tek bir standart yerine üçünün birlikte uygulanması, hem teknik derinliği hem audit-kabulünü garantiler.
Evet, her engagement'ta lider mühendisin sektörce tanınmış en az bir sertifikasyonu olur: OSCP (Offensive Security Certified Professional), OSWE (Offensive Security Web Expert), CEH (Certified Ethical Hacker), CRTP (Certified Red Team Professional) veya GPEN (GIAC Penetration Tester). Mobil için ayrıca eMAPT, bulut için AWS Security Specialty veya AZ-500 tercih ediyoruz. Sertifikalar mecburi değildir — ama açıkça müşteri talep ettiğinde (özellikle finans ve kamu projelerinde) belgeleri tedarik dökümanlarına ekleyebiliyoruz. Daha önemli olan, ekibin gerçekten reprodüklenebilir bulgu çıkartmasıdır; sertifikalar bunun bir göstergesidir, garantisi değildir — ama biz ikisini birden sunuyoruz.
Açıklarınızı saldırgandan önce
biz bulalım.
30 dakikalık ücretsiz kapsam görüşmesinde pentest planını birlikte çıkartıyoruz: hedef sistemler, RoE, takvim ve net fiyat.