// WEB SIZMA TESTLERİ
Web uygulamalarınızı OWASP standartlarına uygun denetliyoruz.
Kaynak kodunuza erişim olmadan, internet üzerinden çeşitli otoriteler tarafından yayınlanan listelere uygun şekilde OWASP standartları ve TS 13638 metodolojisi ile web sızma testi.
// NEDEN KRİTERA
Web güvenliğine adanmış uzmanlık
API’lerden SPA’lara, e-ticaret platformlarından bankacılık uygulamalarına — her web teknolojisi için derinlemesine.
01
OWASP Top 10 + ASVS L2
Yalnızca Top 10 değil — Application Security Verification Standard Level 2 kapsamında derinlemesine denetim. Authentication, session, access control ayrıntılı.
02
API + Mobile Backend
REST, GraphQL, gRPC API’lerine derinlemesine; mobil uygulamaların backend tarafına odaklı testler. SSRF, IDOR, BOLA gibi modern saldırılar.
03
İş Mantığı Açıkları
Otomatik araç bulamayacağı türden açıklar — örneğin para transferinde double-spending, kupon istismarı, fiyat manipülasyonu.
// METODOLOJİ
Web pentest süreç adımları
HAFTA 1
Kapsam ve Erişim
Test edilecek uygulamalar, test kullanıcı hesapları (farklı yetki seviyelerinde), API anahtarları, oturum bilgileri.
HAFTA 1-2
Keşif ve Haritalama
URL keşfi (Burp, ZAP), parametre haritalama, teknoloji tespiti, JavaScript analizi, API endpoint çıkarma.
HAFTA 2-3
OWASP Top 10 Testi
Injection (SQL, NoSQL, command), Broken Authentication, Sensitive Data Exposure, XXE, Broken Access Control, Security Misconfiguration, XSS, Insecure Deserialization, Vulnerable Components, Insufficient Logging.
HAFTA 3-4
İş Mantığı Testi
Uygulamanın işleyişini kötüye kullanma denemeleri — fiyat manipülasyonu, race condition, çoklu hesap çekme, IDOR derinlemesine.
HAFTA 4
Raporlama
Yönetici özeti, OWASP risk skoru ile sıralı bulgular, video PoC’lar, kod örnekli düzeltme önerileri.
8. HAFTA
Yeniden Test
Düzeltme sonrası tüm kritik bulgular için yeniden test, kapatma teyit raporu.
// TUZAKLAR
En sık karşılaşılan web açıkları
Türkiye’de 2024-2026 dönemindeki Kritera web testlerinde en sık tespit ettiğimiz beş açık türü:
XSS sandığınızdan ciddi
Stored XSS = oturum çalma, hesap ele geçirme, müşteri verilerine erişim. Çözüm: CSP + input validation + output encoding.
API’ler tarayıcıdan çok daha az korumalı
Web tarayıcıdan gelen istekleri kontrol ediyorsanız bile API doğrudan çağrılır. Çözüm: API’ye özel rate limit, auth, validation.
Insecure direct object references
URL’de id=123 yerine id=124 yazarak başkasının verisine erişim. Çözüm: Her veri okumada yetki kontrolü.
Eski JS kütüphaneleri
jQuery 1.x veya eski React = bilinen CVE’lere açık. Çözüm: SCA aracıyla sürekli denetim, otomatik güncelleme.
İş mantığı sömürüsü
Sepete ekle/çıkar arasında race ile %50 indirim. Çözüm: Atomic operations, server-side state validation.
// İLETİŞİM
Web uygulamanız için pentest planlaması
Kapsam, test ortamı, hesap erişimi, raporlama formatı — ücretsiz ön görüşmede.