// AĞ / SİSTEM SIZMA TESTLERİ
İnternete açık altyapınızı saldırgan gözüyle denetliyoruz.
Müşterinin internet üzerinden erişilebilir tüm kaynaklarına yönelik olası güvenlik açıklarının ortaya çıkarılması, OWASP ve TS 13638 standartlarına uygun metodoloji ile.
// NEDEN KRİTERA
Sızma testçisi disiplini
Sadece otomatik tarama değil — manuel istismar, zincirleme açık keşfi ve gerçek saldırgan simülasyonu.
01
OSCP / CEH Sertifikalı Ekip
Pentest ekibinin tamamı OSCP/CEH veya muadili sertifikalı. Yıllık 50+ test ile aktif sahada.
02
TS 13638 Standardı
Türk Standartlarına Uygun (TSE) sızma testi metodolojisi — savunma sanayi ve kamu projeleri için resmi kabul.
03
Yeniden Test Dahil
İlk testte bulunan kritik bulgular düzeltildikten sonra yeniden test ücretsiz olarak yapılır. Kapatma teyit edilir.
// METODOLOJİ
Altı aşamada test ve raporlama
HAFTA 1
Kapsam Belirleme
Test edilecek IP aralıkları, sistemler, sosyal mühendislik dahil mi, blackbox/greybox/whitebox tercih, yasal izinler ve test penceresi anlaşması.
HAFTA 1-2
Bilgi Toplama
Açık kaynak istihbarat (OSINT), DNS keşfi, port tarama (Nmap), servis fingerprinting, teknoloji stack tespiti. Atak yüzeyi haritası.
HAFTA 2-3
Açık Tespit & Sömürü
Otomatik tarama (Nessus, Nuclei) + manuel istismar denemeleri. Açık keşfi sonrası, kontrollü exploit ile gerçek etki kanıtlanır.
HAFTA 3
Hak Yükseltme
İlk dayanaktan sonra sistem içi keşif, kimlik bilgisi toplama, yana hareket. Hedef: tehdit aktörünün ne kadar derine inebileceğini göstermek.
HAFTA 4
Raporlama
Yönetici özeti (CISO için, iş etkisiyle), detaylı teknik rapor (CVSS skoru, kanıt screenshotları, düzeltme önerileri), risk haritası.
8-12. HAFTA
Yeniden Test
Müşteri düzeltmelerini yaptıktan sonra, aynı bulguları tekrar test ederiz. Kapatma teyidi raporu eklenir.
// TUZAKLAR
Sızma testinde en sık hatalar
Test sözleşmeleri imzalanırken çoğunluğun atladığı, sonradan zarara yol açan beş tuzak:
Otomatik-tarama-only test
Sadece Nessus/Acunetix çıktısı = gerçek pentest değil. Çözüm: %70 manuel istismar zorunluluğu.
Kapsam dışı sistem ihmali
Test dışı bırakılan staging/test ortamı sızıntı kaynağı olur. Çözüm: Tüm çevrede en az hızlı tarama.
Bulgu listesi, çözüm yok
100 sayfa bulgu var, hangisinden başlanacağı belirsiz. Çözüm: CVSS + iş etkisi + güçlü önceliklendirme.
Yeniden test ücretli
Düzeltme sonrası yeniden test ek ücret = düzeltme cesareti azalır. Çözüm: Yeniden test paket fiyatına dahil.
Bulgular dışarı sızar
Test ekibinin not defterleri/araç logları üçüncü tarafa düşer. Çözüm: NDA + şifrelenmiş kanallar + 30 günde imha.
// İLETİŞİM
Altyapınız için kapsam görüşmesi planla
Test öncesi ücretsiz kapsam görüşmesi — IP aralığı, hedef sistemler, test penceresi, raporlama beklentileri.