← Blog
Guvenlik8 dk okumaMegis

Penetrasyon Testi Rehberi: Guvenlik Sizma Testleri

Penetrasyon testleri yaparak web sitenizin guvenlik aciklarini saldirganlardan once kesfedin.

Penetrasyon Testi Nedir?

Penetrasyon testi (pentest), bir bilgi sisteminin guvenlik acikliklarini tespit etmek amaciyla yetkilendirilmis ve kontollu bir sekilde gerceklestirilen simule edilmis siber saldiridir. Amac, gercek bir saldirganin kullanabilecegi zayifliklaari, saldirgandan once kesfetmek ve raporlamaktir. Penetrasyon testi, guvenlik taramalarindan (vulnerability scanning) farklidir; taramalar otomatik araclarla bilinen acikliklari listeserken, penetrasyon testi bu acikliklari aktif olarak istismar etmeye calisarak gercek etkilerini ortaya koyar.

2026 yilinda siber saldirillarin maliyeti ve sikligi her gecen yil artmaktadir. Duzenli penetrasyon testleri, organizasyonlarin guvenlik durusunu proaktif olarak degerlendirmesini, yasal uyumluluk gereksinimlerini (PCI DSS, ISO 27001, KVKK) karsilamasini ve guvenlik yatirimlarinin etkinligini olcmesini saglar. Bu rehberde, penetrasyon testi metodolojisini, temel araclari, raporlama surecini ve iyilestirme adimlarini kapsamli sekilde inceleyecegiz.

Penetrasyon Testi Turleri

Penetrasyon testleri, kapsam ve bilgi duzeyine gore farkli kategorilere ayrilir:

  • Kara Kutu (Black Box): Test ekibine hedef sistem hakkinda hicbir bilgi verilmez. Gercek bir dis saldirganin bakis acisini simule eder. Kesinf asamasi uzundur ancak gercekci sonuclar uretir.
  • Beyaz Kutu (White Box): Test ekibine kaynak kod, ag semasi, kimlik bilgileri gibi tum bilgiler saglanir. En kapsamli sonuclari uretir ve gizli acikliklarin tespitinde etkilidir.
  • Gri Kutu (Gray Box): Test ekibine sinirli bilgi verilir (ornegin kullanici hesabi, kismi dokumantasyon). Ic tehdit senaryolarini simule eder ve kara kutu ile beyaz kutu arasinda dengeli bir yaklasim sunar.

Kapsam acisindan ise penetrasyon testleri sunlari icerebilir:

  • Web Uygulama Testi: Web uygulamalarindaki guvenlik acikliklarini hedefler.
  • Ag Penetrasyon Testi: Ic ve dis ag altyapisindaki zayifliklari tespit eder.
  • Mobil Uygulama Testi: iOS ve Android uygulamalarinin guvenligini degerlendirir.
  • API Testi: API endpoint'lerindeki guvenlik acikliklarini arar.
  • Sosyal Muhendislik Testi: Insan faktorune yonelik saldirilari (phishing, pretexting) simule eder.
  • Fiziksel Guvenlik Testi: Fiziksel erisim kontrollerinin etkinligini degerlendirir.

OWASP Test Metodolojisi

OWASP Testing Guide, web uygulama penetrasyon testleri icin en yaygin kullanilan metodoloji referansidir. Sistematik bir yaklaasim sunarak test surecinin tekrarlanabilir ve kapsamli olmasini saglar.

Bilgi Toplama (Reconnaissance)

Testin ilk asamasi, hedef hakkinda mumkun oldugunca fazla bilgi toplamaktir. Pasif ve aktif bilgi toplama olarak ikiye ayrilir.

  • Pasif bilgi toplama: Hedefle dogrudan etkilesim olmadan yapilir. DNS kayitlari, WHOIS sorgulari, arama motoru dorkleri, sosyal medya analizi, sertifika seffafligi (CT) loglaari gibi acik kaynaklardan bilgi derlenir.
  • Aktif bilgi toplama: Hedefle dogrudan etkilesim gerektirir. Port tarama, servis tespiti, dizin kesffi, teknoloji tespiti (web sunucusu, framework, CMS) gibi islemler yapilir.

Guvenlik Acigi Tespiti (Vulnerability Assessment)

Toplanan bilgiler isiginda potansiyel guvenlik aciklari tanimlanir. OWASP Top 10 kategorileri temel referans olarak kullanilir:

  1. Bozuk Erisim Kontrolu: Yetkilendirme mekanizmalarindaki zayifliklar, IDOR, yetki yukseltme.
  2. Kriptografik Hatalar: Zayif sifreleme, hassas verilerin acik metin depolanmasi.
  3. Enjeksiyon: SQL, NoSQL, OS komutu, LDAP enjeksiyonu.
  4. Guvenli Olmayan Tasarim: Tasarim duzeyindeki guvenlik eksiklikleri.
  5. Guvenlik Yapilandirma Hatalari: Varsayilan ayarlar, gereksiz ozellikler, acik hata mesajlari.
  6. Savunmasiz ve Guncelliigini Yitirmis Bilesenler: Eski kutuphaneler, yamlanmamis yazilimlar.
  7. Kimlik Dogrulama Hatalari: Zayif sifre politikalari, brute-force korumasizligi.
  8. Yazilim ve Veri Butunlugu Hatalari: Guvenilmez kaynaklardan deserialization, CI/CD guvenlik aciklari.
  9. Guvenlik Kaydi ve Izleme Eksiklikleri: Yetersiz loglama, alarm mekanizmasi yoklugu.
  10. Sunucu Tarafi Istek Sahteciligi (SSRF): Sunucudan yetkisiz kaynaklara istek yonlendirme.

Istismar (Exploitation)

Tespit edilen guvenlik aciklari kontollu sekilde istismar edilerek gercek etkisi ortaya konur. Bu asamada dikkat edilmesi gerekenler:

  • Istismar oncesi yedek alinmasi ve geri donus plani hazirlanmasi.
  • Uretim ortaminda yikici testlerden kacinilmasi; mumkunse test ortaminda calisilmasi.
  • Istismar sonrasi erisimin ne kadar derinlestirilebildiginin (post-exploitation) degerlendirilmesi.
  • Bulgu kanitlarinin (screenshot, log, PoC kodu) dikkatli sekilde dokumante edilmesi.

Temel Penetrasyon Testi Araclari

Burp Suite

Burp Suite, PortSwigger tarafindan gelistirilen ve web uygulama guvenlik testi icin enduestri standardi haline gelmis kapsamli bir platformdur. Community (ucretsiz) ve Professional (ucretli) surumleri vardir.

  • Proxy: Tarayici ile sunucu arasindaki HTTP/HTTPS trafigini yakalar ve degistirmenize olanak tanir. Istek ve yanitlari gercek zamanli olarak inceleyebilirsiniz.
  • Scanner: (Professional) Otomatik guvenlik acigi taramasi yapar. SQL injection, XSS, dizin gezinmesi ve diger yaygin acikliklari tespit eder.
  • Intruder: Otomatik ve ozellestirilebilir saldiri yukseri gonderir. Parametre fuzzing, brute-force ve payload listeleri ile test yapar.
  • Repeater: Tek bir istegi degistirip tekrar tekrar gondermenize olanak tanir. Manuel test icin idealdir.
  • Collaborator: (Professional) Out-of-band (bant disi) acikliklari tespit eder. Blind SSRF, blind XSS gibi dogrudan yanit donmeyen acikliklari kesfeder.
  • Eklenti destegi: BApp Store uzerinden yuzlerce topluluk eklentisi ile islevselligini genisletebilirsiniz.

OWASP ZAP (Zed Attack Proxy)

OWASP ZAP, dunyanin en populer ucretsiz ve acik kaynakli web uygulama guvenlik tarayicisidir. Hem yeni baslayanlar hem de deneyimli guvenlik uzmanlari icin uygundur.

  • Otomatik tarama: Bir URL verildiginde otomatik olarak siteyi tarar ve bilinen guvenlik acikliklarini rapor eder.
  • Aktif ve pasif tarama: Pasif tarama trafigi izleyerek bulgu toplarken, aktif tarama hedefee saldiri payloadlari gonderir.
  • Spider/Crawler: Web uygulamasinin haritasini cikarir ve tum erisilebiilir sayfalari kesfeder.
  • Fuzzer: Girdi alanlarina rastgele ve ozel olarak hazirlanmis veriler goonderir.
  • CI/CD entegrasyonu: Jenkins, GitLab CI, GitHub Actions gibi araclarla entegre edilerek otomatik guvenlik taramalari pipeline'a dahil edilebilir.
  • API destegi: REST ve GraphQL API'lerinin OpenAPI/Swagger tanimlari uzerinden otomatik taranmasini destekler.
  • Otomasyon: Komut satiri ve Python/JavaScript scriptleri ile tam otomatik tarama senaryolari olusturulabilir.

Diger Onemli Araclar

  • Nmap: Ag kesfi ve port tarama icin standart arac. Servis ve isletim sistemi tespiti yapar.
  • Metasploit Framework: Istismar gelistirme ve calistirma platformu. Binlerce hazir exploit modulu icerir.
  • SQLMap: SQL injection acikliklarinin otomatik tespiti ve istismari icin uzmanlasmis arac.
  • Nuclei: Sablona dayali hizli guvenlik acigi tarayicisi. Topluluk tarafindan uretilen binlerce sablon icerir.
  • ffuf: Hizli web fuzzer. Dizin kesfi, parametre bulma ve sanal host kesfi icin kullanilir.
  • Hashcat/John the Ripper: Sifre kirma araclari. Yakalanan hash'lerin gucunu test eder.

Penetrasyon Testi Raporu

Penetrasyon testinin en degerli ciktisi rapordur. Iyi yazilmis bir rapor, hem teknik ekibe hem de yonetime anlamli bilgi sunar.

  • Yonetici Ozeti: Teknik olmayan bir dilde genel risk degerlendirmesi, kritik bulgularin ozeti ve oncelikli aksion onerileri. Yonetim kadrosu icin hazirlanir.
  • Kapsam ve Metodoloji: Testin kapsamii, kullanilan metodoloji, test suresi, kisitlamalar ve varsayimlar.
  • Bulgu Detaylari: Her bulgu icin; aciklama, etkilenen bilesen, risk seviyesi (CVSS skoru), istismar senaryosu, kanitlar (screenshot, istek/yanit ornekleri, PoC kodu) ve iyilestirme onerisi.
  • Risk Sinifllandirmasi: Bulguaalari CVSS (Common Vulnerability Scoring System) kullanarak puanlayin. Kritik, yuksek, orta, dusuk ve bilgi olarak kategorize edin.
  • Iyilestirme Yol Haritasi: Bulgulari onceliklendiren ve iyilestirme adimllarini zaman cizelgesi ile sunan bir yol haritasi.

Iyilestirme (Remediation) Sureci

Rapor teslim edildikten sonra asil is baslar. Tespit edilen acikliklarin kapatilmasi sistematik bir surec gerektirir:

  1. Onceliklendirme: Kritik ve yuksek riskli bulgulari hemen ele alin. Risk seviyesi, istismar kolayligi ve is etkisi kriterlerine gore onceliklendirin.
  2. Kok neden analizi: Her bulgunun kok nedenini belirleyin. Bir SQL injection acigi, girdi dogrulama eksikliginden mi, ORM kullanilmammasindan mi yoksa guvenli kodlama pratiklerinin eksikliginden mi kaynaklaniyor?
  3. Duzeltme uygulama: Teknik ekip duezeltmeleri uygular. Kod degisikllikleri, yapilandirma guncellemeleri, yama uygulamalari veya mimari degisiklikler olabilir.
  4. Dogrulama testi: Duzeltmeler uygulandiktan sonra yeniden test yaparak acikligin gercekten kapatildigini dogrulayin. Regresyon testi ile duzeltmenin yeni sorunlara yol acmadigini kontrol edin.
  5. Sistemik iyilestirme: Tekil bulgulari cozmenin otesinde, benzer acikliklarin tekrarlanmasini onlemeek icin surec iyilestirmeleri yapin. Guvenli kodlama egitimleri, kod inceleme surecleri, otomatik guvenlik taramalari ve guvenlik standartlari benimseeyin.

Penetrasyon Testi Sikligii ve Planlama

Penetrasyon testlerinin ne siklikta yapilmasi gerektigi, organizasyonun risk profili ve uyumluluk gereksinimlerine bagliidir:

  • Yillik tam kapsamli test: Cogu uyumluluk cercevesi (PCI DSS, ISO 27001) en az yillik penetrasyon testi gerektirir.
  • Buyuk degisikllik sonrasi: Onemli altyapi degisiklikleri, yeni uygulama yayinlari veya buyuk kod guncellemeleri sonrasinda ek test yapin.
  • Surekli test: Bug bounty programlari ve otomatik guvenlik taramalari ile surekli bir guvenlik testi kulturu olusturun.
  • Kirmizi takim egzersizleri: Yilda bir veya iki kez, gercek saldiri senaryolarini tam kapsamli simule eden kirmizi takim egzersizleri duzenleyin.

Sonuc: Penetrasyon testi, organizasyonunuzun siber guvenllik durusunu gercekci bir sekilde degerlendirmenin en etkili yollarindan biridir. Sistematik bir metodoloji izlemek, dogru araclari kullanmak, kapsamli raporlama yapmak ve en onemlisi tespit edilen bulgulari zamaninda iyilestirmek, penetrasyon testinin degerini ortaya cikarir. Test sonuclarini yalnizca bir uyumluluk kutusuu isaretleme araci olarak gormek yerine, organizasyonunuzun guvenlik olgunlugunu surekli artiran bir ogrenme sureci olarak benimseyin.

#penetrasyon testi#pentest#guvenlik testi#sizma testi