Sızma Testi (Penetration Test / Pentest) hizmetimiz, şirket ağınız, uygulamalarınız ve bulut altyapınız üzerinde gerçek saldırgan bakışıyla ama kontrollü ve izne dayalı bir güvenlik değerlendirmesi sunar. İLS Bilgisayar olarak amacımız; zafiyetleri yalnızca “tespit etmekle” kalmayıp, iş etkisini somutlaştırmak, düzeltme adımlarını netleştirmek ve tekrar test (retest) ile risklerin gerçekten kapandığını doğrulamaktır. Çalışmalarımız; OWASP, PTES, OSSTMM ve NIST gibi uluslararası metodolojilere dayanır; KVKK, ISO/IEC 27001 ve müşteri sözleşmelerinizdeki güvenlik şartlarını destekleyecek şekilde raporlanır.
Gerçek hayat senaryolarını simüle eder; dış saldırganın internetten gördüğü yüzeyden, şirket içi ağda yetkisi kısıtlı bir kullanıcının yapabileceklerine kadar farklı rolleri canlandırırız. Web uygulamaları, API’ler, mobil uygulamalar, kablosuz ağlar, sunucu/istemci sistemleri ve bulut yapılandırmaları sistematik biçimde incelenir. Sonuçta yalnızca bir “zafiyet listesi” değil, önceliklendirilmiş bir yol haritası ve yönetim özeti teslim ederiz.
Kapsam ve Hizmet İçeriği – Sızma Testi ile Uçtan Uca Güvenlik Görünürlüğü
Dış Ağ Sızma Testi: İnternete açık servisler, DNS/SSL/posta konfigürasyonları, maruz yüzey analizi ve saldırı yüzeyi daraltma önerileri.
İç Ağ Sızma Testi: Active Directory, paylaşımlar, parolalar, yanlış yetkiler ve segmentasyon zafiyetlerinin işletimsel etkileri.
Web Uygulaması ve API Sızma Testi: Oturum ve kimlik doğrulama, yetki denetimleri, giriş/çıktı doğrulama, iş mantığı hataları, OWASP Top 10 kapsamı.
Mobil Uygulama Güvenliği: Uygulama-API etkileşimi, saklanan/veri sızıntısı riskleri, tersine mühendisliğe direnç kontrolleri.
Kablosuz Ağ Testleri: Yetkisiz erişim noktaları, şifreleme/kimlik doğrulama zafiyetleri, misafir ağ ayrışması.
Bulut ve Konfigürasyon İncelemesi: Azure/AWS/Google üzerinde kimlik, yetki, depolama ve ağ politikalarının güvenlik taraması.
Sosyal Mühendislik Simülasyonları (Opsiyonel): E-posta/mesaj kampanyaları ile farkındalık ölçümü (gerçek sızdırma veya zarar verici eylem yapılmaz).
Bu kapsam, black box / gray box / white box modellerinde, kurumunuzun ihtiyaçlarına ve risk profilinize göre özelleştirilir.
Metodoloji ve Yaklaşım – Sızma Testi’nde Kanıt Odaklı ve İş Etkisine Duyarlı
Keşif ve Kapsam Onayı: Hukuki izinler, sınırlar, test pencereleri, iletişim/escalation planı, “yapılmayacaklar” listesi.
Zayıflık Tespiti (Non-intrusive Öncelik): Otomatize taramalarla desteklenen, ama asıl gücünü manuel doğrulamadan alan analiz.
İstismar Doğrulaması (Güvenli ve Kontrollü): Sadece gerekli düzeyde kanıt (PoC) üretme; veri sızdırma, sistem bozma gibi zarar verici eylemlerden kaçınma.
Yetki Yükseltme ve Yanal Hareket Analizi: Bir zafiyetin zincirleme etkisi, erişilebilen varlıklar ve potansiyel iş kaybı.
Raporlama ve Önceliklendirme: CVSS tabanlı risk puanı, iş etkisi anlatımı, kök neden ve uygulanabilir düzeltme önerileri.
Düzeltme Atölyesi ve Tekrar Test: Ekiplerinizle birlikte hızlı kazanımlar, orta/uzun vadeli iyileştirme planı ve retest ile doğrulama.
Not: Sızma Testi, zafiyet taraması ile karıştırılmamalıdır. Tarama, geniş kapsamlı bir ön fotoğraf sunar; sızma testi ise kanıtlı, senaryo bazlı ve iş etki odaklı derinlemesine doğrulama yapar.
Sızma Testi Çıktıları – Yönetim ve Teknik Ekipler İçin İki Katmanlı Rapor
Yönetim Özeti: Risk haritası, iş etkisi, uyumluluk ve önceliklendirilmiş yol haritası (quick wins + stratejik adımlar).
Teknik Rapor: Her bulgu için açıklama, etkilenme yüzeyi, kanıt ekranları, CVSS skoru, kök neden, adım adım değil, güvenli düzeltme yönlendirmeleri.
Ekler: Varlık listeleri (in-scope), kullanılan test pencereleri, iletişim akışı, loglar/ID’ler ve tekrar test sonuçları.
Rapor dili eyleme dönük ve ölçülebilir metriklerle desteklenir; denetimlerinizde referans alınabilir.
Sızma Testi Senaryolarında Dikkat Ettiğimiz İlkeler – Güvenli ve Etik Çerçeve
%100 Yazılı İzin ve Kapsam Disiplini: Yetkilendirme dokümanı olmadan test yapılmaz; sınırlar aşılmaz.
Operasyon Sürekliliği: Üretim sistemlerinde duruşa yol açabilecek agresif tekniklerden kaçınılır; bakım pencereleri kullanılır.
Veri Gizliliği ve KVKK: Test sırasında erişilen hassas veriler kopyalanmaz, saklanmaz, sadece kanıt için gerekli minimum izlenir.
Şeffaf İletişim: Kritik bulgular anlık bildirilir; kapanış toplantısında tüm süreç dokümante edilir.
Sık Görülen Bulgular – Sızma Testi ile Ortaya Çıkan Risk Temaları
Kimlik ve Oturum: Zayıf parola politikaları, MFA eksikliği, oturum sabitleme/çalma vektörleri.
Yetkilendirme ve İş Mantığı: Yatay/dikey yetki atlamaları, onay akışlarını atlatma, fiyat/indirim mantık hataları.
Girdi Doğrulama ve Veri Sızıntısı: Enjeksiyon sınıfı zafiyetler, hassas bilgilerin istemeden ifşası, debug/log sızıntıları.
Yapılandırma ve Bileşenler: Varsayılan şifreler, güncel olmayan kütüphaneler, yanlış CORS/SSL/TLS ayarları.
Gözlenebilirlik Eksikliği: Yetersiz loglama, alarm üretmeyen kritik eylemler, olay müdahale boşlukları.
Her bulgu için kök neden ve kalıcı çözüm odaklı öneriler verilir; yalnızca “patch” değil, süreç ve mimari iyileştirmeleri de içerir.
Kurumunuzdan Beklediklerimiz – Sızma Testi’nin Sağlıklı Yürütülmesi İçin
Kapsam Bilgileri: IP/alan adları, alt alanlar, uygulama listeleri, kritik varlıklar.
Test Pencereleri ve İletişim: İş etkileşimini azaltacak zamanlar, acil durum irtibatları ve eskalasyon zinciri.
Erişim Modeli: Black/gray/white box seçimi; gerekiyorsa test hesapları/anahtarları ve minimum yetki prensibi.
Üçüncü Taraf İzinleri: Barındırma/servis sağlayıcı gereklilikleri.
Yasal ve Uyumluluk Notları: KVKK, sözleşme ve gizlilik gereksinimleri.
Bu bilgiler, verimli ve riski kontrol altında bir test için kritik önemdedir.