Kapınızın kilitli olduğunu varsayarsınız — ama bir hırsızın bakış açısıyla kapınıza hiç baktınız mı? Sızma testi (penetrasyon testi), tam olarak bunu yapar: sisteminizi bir saldırganın gözüyle değerlendirir ve güvenlik açıklarını gerçek bir saldırıdan önce ortaya çıkarır. Bu rehberde, sızma testinin ne olduğunu, nasıl yapıldığını, hangi türleri olduğunu ve işletmeniz için neden vazgeçilmez olduğunu detaylı şekilde ele alıyoruz. Sızma Testi Nedir? Sızma testi (İngilizce: Penetration Testing veya kısaca PenTest), bir bilişim sisteminin güvenliğini değerlendirmek amacıyla, yetkili bir güvenlik uzmanının kontrollü koşullar altında sisteme sızmaya çalıştığı test sürecidir. Amaç, sisteme zarar vermek değil; zayıf noktaları, yanlış yapılandırmaları ve güvenlik açıklarını tespit etmek ve raporlamaktır. Sızma testi sonucunda ortaya çıkan bulgular, güvenlik açıklarının kapatılması ve güvenlik seviyesinin yükseltilmesi için yol haritası oluşturur. Bunu tıbbi bir check-up'a benzetebilirsiniz: hastalık belirtisi olmasa bile düzenli kontrol yaptırırsınız çünkü bazı sorunlar ancak uzman bakışıyla tespit edilebilir. Siber güvenlikte de aynı mantık geçerli — sistem çalışıyor olması, güvenli olduğu anlamına gelmez. Sızma Testi vs. Güvenlik Açığı Taraması: Fark Ne? Bu iki kavram sıklıkla karıştırılır ama temelden farklıdırlar. Güvenlik açığı taraması (vulnerability scan): Otomatik araçlarla yapılır. Bilinen güvenlik açıklarını veritabanından sorgular ve eşleşmeleri raporlar. Hızlıdır, düşük maliyetlidir ve düzenli olarak yapılmalıdır. Ancak yanlış pozitif oranı yüksektir ve bulunan açığın gerçekten istismar edilebilir olup olmadığını doğrulamaz. Sızma testi: Uzman bir güvenlik araştırmacısı tarafından yapılır. Otomatik araçları kullanır ama asıl fark, bulunan açıkları gerçekten istismar ederek (kontrollü şekilde) doğrulamasıdır. İş mantığı hatalarını, zincir saldırıları ve otomasyon araçlarının yakalayamadığı karmaşık zafiyetleri tespit eder. Daha pahalıdır ama çok daha değerli sonuçlar üretir. İkisi birbirinin alternatifi değil, tamamlayıcısıdır. Güvenlik açığı taraması düzenli (aylık veya haftalık) yapılmalı, sızma testi ise yılda en az bir kez veya kritik değişikliklerden sonra gerçekleştirilmelidir. Sızma Testi Türleri Kapsama Göre Ağ sızma testi: Ağ altyapısının (sunucular, switch'ler, router'lar, güvenlik duvarları) güvenliğini değerlendirir. Açık portlar, zayıf protokoller, yanlış yapılandırmalar ve ağ segmentasyonu eksiklikleri tespit edilir. Hem iç ağ (internal) hem de dış ağ (external) perspektifinden yapılabilir. Web uygulama sızma testi: Web sitesi ve web tabanlı uygulamaların güvenliğini test eder. OWASP Top 10 kapsamındaki zafiyetler (SQL injection, XSS, CSRF, IDOR, kimlik doğrulama zafiyetleri, güvensiz dosya yükleme vb.) hedeflenir. E-ticaret siteleri, müşteri panelleri ve SaaS uygulamaları için kritik öneme sahiptir. Mobil uygulama sızma testi: iOS ve Android uygulamalarının güvenlik analizi. Güvensiz veri depolama, zayıf iletişim kanalları, kimlik doğrulama sorunları ve kaynak kodu analizi yapılır. Kablosuz ağ sızma testi: Wi-Fi ağlarının güvenliğini değerlendirir. Zayıf şifreleme protokolleri (WEP, WPA1), sahte erişim noktası (evil twin) saldırıları ve kablosuz ağ üzerinden iç ağa erişim denemeleri yapılır. Sosyal mühendislik testi: Teknik sistemler yerine insan faktörünü test eder. Phishing kampanyaları, telefon bazlı kandırma, fiziksel erişim denemeleri (tailgating) ve USB drop testleri bu kapsamdadır. Çalışanların güvenlik farkındalığını ölçer. Fiziksel sızma testi: Bina güvenliği, erişim kontrol sistemleri, kamera yerleşimi ve fiziksel güvenlik önlemlerinin değerlendirilmesi. Sunucu odasına yetkisiz erişim, ofis içi bilgi toplama gibi senaryoları kapsar. Bilgi Düzeyine Göre Black Box (Kara Kutu): Test uzmanına hedef sistem hakkında hiçbir bilgi verilmez. Gerçek bir saldırganın bakış açısını simüle eder. Dış saldırı senaryolarını değerlendirmek için idealdir. White Box (Beyaz Kutu): Test uzmanına kaynak kodu, ağ diyagramları, kimlik bilgileri ve sistem dokümantasyonu dahil tüm bilgiler paylaşılır. En kapsamlı test türüdür. Daha fazla zafiyet bulunur çünkü uzman sistemi içeriden tanır. Gray Box (Gri Kutu): Sınırlı bilgi paylaşımı yapılır — örneğin normal kullanıcı hesap bilgileri verilir ama admin erişimi verilmez. İç tehdit senaryolarını ve yetki yükseltme zafiyetlerini test etmek için kullanılır. Pratikte en yaygın tercih edilen yöntemdir. Sızma Testi Süreci: Adım Adım Profesyonel bir sızma testi sistematik bir süreç izler. Her aşama bir öncekinin çıktısını kullanır. 1. Kapsam Belirleme ve Planlama Test başlamadan önce, müşteri ile birlikte net sınırlar çizilir. Hangi sistemler test edilecek? Hangileri kapsam dışı? Test saatleri ne olacak? İletişim kanalları ve acil durum prosedürleri neler? Bu aşamada yasal yetkilendirme belgesi (pentest sözleşmesi) imzalanır. Yetkilendirme olmadan yapılan sızma testi yasal olarak bilişim suçu kapsamındadır. 2. Bilgi Toplama (Reconnaissance) Hedef hakkında mümkün olduğunca fazla bilgi toplanır. Pasif bilgi toplama yöntemleri arasında DNS kayıtları, WHOIS sorguları, arama motoru dorking, sosyal medya analizi, sızdırılmış veri tabanlarında arama ve Shodan/Censys gibi IoT arama motorları yer alır. Aktif bilgi toplama ise port tarama (Nmap), servis versiyon tespiti, web teknoloji tespiti (Wappalyzer) ve alt alan adı keşfini kapsar. 3. Zafiyet Analizi Toplanan bilgiler ışığında potansiyel güvenlik açıkları belirlenir. Otomatik zafiyet tarayıcıları (Nessus, OpenVAS, Burp Suite) kullanılır ama sonuçlar uzman tarafından analiz edilir ve yanlış pozitifler ayıklanır. Manuel kod incelemesi, yapılandırma kontrolü ve iş mantığı analizi bu aşamada yapılır. 4. Sızma (Exploitation) Tespit edilen zafiyetler kontrollü koşullarda istismar edilir. Amaç, açığın gerçekten kullanılabilir olduğunu kanıtlamak ve olası etkisini göstermektir. Bu aşama dikkatli yapılmalıdır — hedef sisteme kalıcı zarar vermeden, kavram kanıtı (proof of concept) düzeyinde sızma gerçekleştirilir. Veri sızdırma simülasyonu yapılır ama gerçek müşteri verileri çalınmaz. 5. Yetki Yükseltme ve İlerleme (Post-Exploitation) İlk erişim sağlandıktan sonra, saldırganın ağ içinde ne kadar ilerleyebileceği test edilir. Normal kullanıcıdan admin yetkisine yükseltme, bir sunucudan diğerine geçiş (lateral movement), veritabanlarına erişim ve hassas verilere ulaşma denemeleri yapılır. Bu aşama, gerçek bir saldırı senaryosunda hasarın boyutunu gösterir. 6. Raporlama Testin en değerli çıktısı rapordur. Profesyonel bir sızma testi raporu şu bileşenleri içerir: Yönetici özeti (teknik olmayan karar vericiler için), test kapsamı ve metodoloji, bulunan zafiyetlerin detaylı açıklaması, risk derecelendirmesi (kritik, yüksek, orta, düşük, bilgilendirici), her zafiyet için ekran görüntüleri ve kanıtlar (proof of concept), düzeltme önerileri (kısa ve uzun vade) ve stratejik güvenlik iyileştirme önerileri. 7. Düzeltme Doğrulama (Re-test) Raporlanan zafiyetler kapatıldıktan sonra, düzeltmelerin gerçekten işe yaradığını doğrulamak için hedeflenen bir yeniden test yapılır. Bu aşama genellikle ilk test ücretine dahildir veya çok düşük ek maliyetle sunulur. OWASP Top 10: Web Uygulamalarında En Kritik 10 Güvenlik Açığı OWASP (Open Web Application Security Project), web uygulama güvenliğinde dünya çapında referans alınan kar amacı gütmeyen bir kuruluştur. OWASP Top 10 listesi, web uygulamalarındaki en kritik güvenlik risklerini sıralar ve sızma testlerinde temel kontrol çerçevesi olarak kullanılır. Bozuk Erişim Kontrolü (Broken Access Control): Kullanıcıların yetkileri dışındaki kaynaklara erişebilmesi. Örneğin, URL'deki kullanıcı ID'sini değiştirerek başka birinin verilerine erişmek (IDOR). Kriptografik Hatalar: Hassas verilerin düz metin saklanması, zayıf şifreleme algoritmaları kullanılması, HTTPS zorunluluğunun olmaması. Injection: SQL injection, NoSQL injection, LDAP injection — kullanıcı girdisinin doğrudan sorguya eklenmesiyle veritabanının manipüle edilmesi. Güvensiz Tasarım: Güvenliğin tasarım aşamasında düşünülmemesi. İş mantığı hataları, eksik tehdit modellemesi. Güvenlik Yanlış Yapılandırması: Varsayılan parolalar, gereksiz açık portlar, detaylı hata mesajları, güncellenmemiş yazılımlar. Güncel Olmayan Bileşenler: Bilinen güvenlik açıklarına sahip kütüphaneler, framework'ler ve yazılımlar kullanmak. Kimlik Doğrulama Hataları: Zayıf parola politikası, brute force koruması olmaması, oturum yönetimi hataları. Yazılım ve Veri Bütünlüğü Hataları: Güvenilmeyen kaynaklardan gelen güncellemeler, CI/CD pipeline güvenliği eksiklikleri. Güvenlik Günlüğü ve İzleme Eksiklikleri: Saldırıların tespit edilememesi, yetersiz log tutma, alarm mekanizmalarının olmaması. Sunucu Tarafı İstek Sahteciliği (SSRF): Sunucunun, kullanıcı girdisindeki URL'ye istek yapması ve iç ağ kaynaklarına erişim sağlaması. Ne Zaman Sızma Testi Yaptırmalı? Sızma testi tek seferlik bir iş değil, düzenli bir güvenlik pratiğidir. Ancak bazı durumlar test yaptırmayı zorunlu kılar: Yeni bir web uygulaması veya sistem devreye alınmadan önce. Büyük bir altyapı değişikliği sonrasında (sunucu göçü, bulut geçişi). KVKK veya ISO 27001 uyumluluk gereksinimleri kapsamında. Bir güvenlik ihlali yaşandıktan sonra (saldırı vektörünü anlamak ve tekrarını önlemek için). Yılda en az bir kez düzenli değerlendirme olarak. Özellikle Türkiye'de Mart 2025'te yürürlüğe giren Siber Güvenlik Kanunu ile birlikte, kritik altyapı olarak tanımlanan sektörlerde düzenli güvenlik denetimi zorunlu hale geldi. Sızma Testi Maliyetini Etkileyen Faktörler Test maliyeti sabit değildir ve birçok faktöre bağlıdır. Testin kapsamı ve türü (web, ağ, mobil, sosyal mühendislik), hedef sistemin büyüklüğü ve karmaşıklığı (IP sayısı, uygulama sayısı, kullanıcı rolleri), bilgi düzeyi (black box daha uzun sürer, dolayısıyla maliyetlidir), test süresinin uzunluğu, raporlama detay seviyesi ve yeniden test dahil mi gibi faktörler fiyatı belirler. Diyarbakır'daki KOBİ'ler için temel bir web uygulama sızma testi, büyük şehirlerdeki fiyatların altında sunulabilir çünkü yerel bir partner olarak operasyonel maliyetler daha düşüktür. VefaSoft olarak işletme ölçeğine uygun, şeffaf fiyatlandırmayla sızma testi hizmeti sunuyoruz. Sızma Testi Sonuçlarını Nasıl Değerlendirmeli? Test raporu elinize ulaştığında, öncelik sıralamasına göre hareket edin. Kritik ve yüksek riskli bulgular hemen (1-2 hafta içinde) kapatılmalıdır. Orta riskli bulgular 1 ay içinde planlanmalıdır. Düşük riskli bulgular ve bilgilendirici notlar, genel güvenlik iyileştirme planınıza dahil edilmelidir. Her düzeltme sonrası, ilgili bulgunun yeniden test edilmesini talep edin. Düzeltmenin yeni bir açık yaratmadığından emin olun. Sonuç Sızma testi, siber güvenliğin en somut ve en değerli uygulamalarından biridir. Varsayımlar yerine kanıtlara dayalı güvenlik değerlendirmesi sunar. Hiçbir sistem yüzde yüz güvende değildir — ama düzenli test, riskleri yönetilebilir seviyede tutar ve saldırganlardan bir adım önde olmanızı sağlar. Diyarbakır'da işletmenizin güvenlik seviyesini profesyonel bir sızma testiyle değerlendirmek isterseniz, VefaSoft ile iletişime geçebilirsiniz.
İlgili Yazılar:
Siber Güvenlik Nedir? 2026 Rehberi Diyarbakır'da Siber Güvenlik: Yerel İşletmeler İçin Rehber Web Uygulama Güvenlik Testi: OWASP Top 10 Açıklaması SQL Injection Nedir? Nasıl Önlenir?