Ana içeriğe geç
OzyCore
Bloga Dön
GüvenlikSızma TestiOWASPWeb

Web Uygulamaları için Sızma Testi: Süreç, Fayda ve Tipik Zafiyetler

Sızma testi otomatik bir tarama değildir. Gerçek bir penetration test ne sağlar, nasıl işler, en yaygın açıklar nerede (OWASP Top 10) — ve efor gerçekten ne zaman değer.

Web Uygulamaları için Sızma Testi: Süreç, Fayda ve Tipik Zafiyetler
OzyCore Team15 Mayıs 2026

"Bir güvenlik taraması çalıştırdık, yeşildi" — ve üç ay sonra yine de, herhangi bir giriş yapmış kullanıcının değiştirilmiş bir URL ile görebileceği bir kayıt sızdı.

Bu uydurma bir senaryo değil, en yaygın yanlış anlamadır: otomatik tarama ile sızma testi aynı şey değildir. Bu yazı farkı, gerçek bir sızma testinin sürecini, tipik açıkları ve ne zaman değer kazandırdığını açıklıyor.

Tarama, sızma testi, kod incelemesi, denetim — dört ayrı şey

  • Otomatik tarama: Bir araç bilinen örüntüleri kontrol eder (eski kütüphaneler, eksik header'lar). Hızlı, ucuz, bariz olanı bulur — ama mantık hatalarını değil.
  • Sızma testi: Bir insan uygulamaya gerçek bir saldırgan gibi kasıtlı saldırır: rolleri atlama, yetkileri kandırma, girdileri kötüye kullanma, iş mantığını devre dışı bırakma. Tarayıcının göremediğini bulur.
  • Kod incelemesi: Sadece çalışan uygulamaya değil kaynak koda bakış. Semptomu değil nedeni bulur.
  • Güvenlik denetimi: Sadece teknolojiyi değil; süreçleri, yapılandırmayı ve organizasyonu değerlendirir.

Tarayıcı "bu kilit bilinen bir model" der. Sızma testçisi sizin kapınızın sizin anahtarlarınız, rolleriniz ve istisnalarınızla gerçekten dayanıp dayanmadığını kontrol eder.

Bir sızma testi nasıl işler

Ciddi bir penetration test yapılandırılmıştır, kaotik bir kurcalama değil:

  1. Scoping. Ne test edilecek (web uygulaması, API, giriş, roller), hangi perspektiften (hesapsız, kullanıcı, admin) ve neyin açıkça yasak olduğu (production vs staging, yük testi).
  2. Keşif. Saldırı yüzeyini haritalama: endpoint'ler, parametreler, roller, veri akışları.
  3. Sömürü. Erişim kontrolü, kimlik doğrulama, girdiler, yapılandırma ve iş mantığına hedefli saldırılar.
  4. Kanıt. Her açık tekrar üretilebilir şekilde belgelenir — adımlar, etki ve riskle, sadece "bulgu XY" değil.
  5. Rapor & yeniden test. Önceliklendirilmiş bulgular, somut öneriler ve düzeltmenin gerçekten tuttuğunu kontrol eden bir yeniden test.

Değer son adımdadır: yeniden testi olmayan bir sızma testi anlık bir fotoğraftır, güvenlik kazancı değil.

Tipik açıklar: OWASP Top 10

OWASP Top 10 (2021) web riskleri için kabul gören referanstır. 2021'den beri — ve güncellemede hâlâ — bir numarada Broken Access Control vardır: kullanıcılar hak etmedikleri verilere veya eylemlere erişebilir. OWASP analizinde test edilen uygulamaların %94'ü bir tür hatalı erişim kontrolü için test edildi.

KOBİ'lerde tekrar eden örüntüler:

  • Broken Access Control (A01): Manipüle edilmiş ID/URL ile başkasının kayıtları, yetki kontrolü olmayan API endpoint'leri, güvenlik konsepti olarak "menüde gizli".
  • Cryptographic Failures (A02): Hassas veri şifresiz veya zayıf korunmuş.
  • Injection (A03): Girdi komut olarak yorumlanır (SQL, komutlar ve yapay zekâ özelliklerinde prompt injection — bkz. Prompt Injection'ı Anlamak).
  • Security Misconfiguration (A05): Varsayılan parolalar, açık debug endpoint'leri, fazla geniş yetkiler.
  • Vulnerable Components (A06): Bilinen açıkları olan eski kütüphaneler.
  • Logging/Monitoring Failures (A09): Başarılı bir saldırı fark edilmez çünkü kimse kayıt tutmuyor.

KOBİ bağlamında açık ara en yaygın gerçek zarar A01'dir — ve bu tam da hiçbir tarayıcının güvenilir bulamadığıdır, çünkü örüntü değil mantıktır.

Sızma testi ne zaman değer

Her uygulamanın yıllık tam sızma testine ihtiyacı yoktur. Ama net tetikleyiciler vardır:

  • Kişisel veya iş-kritik verili bir uygulamanın canlıya geçişinden önce.
  • Kimlik doğrulama, roller veya ödeme mantığında büyük bir değişiklikten sonra.
  • Bir müşteri, ortak veya sigortacı sözleşmeyle istediğinde.
  • Düzenleyici ilgi olduğunda (GDPR-hassas işleme).
  • Uygulama dış içerik işlediğinde veya eylemleri otomatik tetiklediğinde.

Almanya'nın BSI IT güvenlik durum raporu tehdit düzeyini süregelen yüksek olarak sınıflandırır; ENISA Threat Landscape web tabanlı saldırıları kalıcı bir tema olarak doğrular. Güvenlik bir proje sonu değil, tekrar eden bir durumdur.

İyi bir sızma testi raporu neler içerir

  • Araç skoruna göre değil gerçek riske göre önceliklendirilmiş bulgular.
  • Her açık için: tekrar üretim, etki, öneri.
  • Bir yönetici özeti (iş için ne anlama geliyor) ve teknik bir bölüm.
  • Düzeltme sonrası anlaşılmış bir yeniden test.

Sadece CVSS sayılarıyla bir "bulgu" listesi olan rapor, önce ne yapılacağına karar vermede kimseye yardım etmez.

Sipariş öncesi kontrol listesi

  • Scope net mi (ne, hangi rolden, staging vs production)?
  • Sadece taranıyor mu yoksa manuel test ediliyor mu?
  • Sadece header değil iş mantığı ve erişim kontrolü inceleniyor mu?
  • Teklifte bir yeniden test var mı?
  • Sadece bir araç export'u değil önceliklendirilmiş, okunabilir bir rapor alıyor muyuz?
  • Bulguları kimin düzelttiği ve kimin doğruladığı net mi?

Sık sorulan sorular

Otomatik tarama yetmez mi? Bilinen, yüzeysel sorunlar için evet. Erişim kontrolü ve iş mantığı için — en yaygın gerçek zarar — hayır. İkisi birbirini tamamlar; biri diğerinin yerine geçmez.

Sızma testi production'da mı staging'de mi? Tercihen gerçek veri yapılarına sahip ama gerçek kişisel veri olmayan, production'a yakın bir staging ortamında. Production yalnızca net kurallarla.

Ne sıklıkla? İlgili sürümlerden önce ve auth/roller/ödeme büyük değişikliklerinden sonra — katı "yılda bir" değil, olay güdümlü.

Maliyeti nedir? Yazılım gibi: kapsama bağlı. Girişli ve üç rollü bir uygulamanın net sınırlı testi hesaplanabilir; "her şeyi test edin" değildir.

Sonuç

Sızma testi yeşil bir onay işareti değil, bir insan tarafından yapılan kontrollü bir saldırıdır — tam da tarayıcıların kör olduğu yerde: erişim kontrolü, roller, iş mantığı. Yapılandırılmış süreç, OWASP odaklı derinlik ve bir yeniden test, gerçek bir sızma testini raporlu pahalı bir taramadan ayırır.

İlgili okuma

Sonraki adım

Canlıya geçişten önce veya rol/auth değişikliğinden sonra mı? Bizimle önceliklendirilmiş raporlu ve yeniden testli, net kapsamlı bir sızma testi ve güvenlik incelemesi hakkında konuşun.

Kaynaklar

  • OWASP, Top 10:2021 Web Application Security Risksowasp.org
  • OWASP, A01:2021 Broken Access Controlowasp.org
  • BSI, Die Lage der IT-Sicherheit in Deutschlandbsi.bund.de
  • ENISA, Threat Landscapeenisa.europa.eu

İlgili Yazılar

GüvenlikPentesting

Web Uygulamanız İçin Güvenlik Testi: Bilmeniz Gerekenler

5 Nis 2026

LLM GüvenliğiPrompt Injection

Prompt Injection'ı Anlamak: Yapay Zekâ Uygulamaları Neden Kendi Güvenlik Kontrollerine İhtiyaç Duyar

15 May 2026

APIEntegrasyon

Şirketler için API Entegrasyonu: ERP, CRM, Webshop ve Excel'i Bağlamak

16 May 2026

Bu konuyla ilgileniyor musunuz? İşletmenize nasıl yardımcı olabileceğimizi konuşalım.