Sistemini Kim Kıracaksa · Sen Olmalısın · Saldırgandan Önce

Bir kurum siber saldırıya uğradığında · kaybedilen ilk şey veri değil · müşteri güvenidir. İkinci kayıp ise: önceden bir pentest yaptırsaydı bu olmazdı · gerçeğidir.

Pentest = Sızma testi = Yetkili saldırı simülasyonu. Sizin sistemlerinizi · gerçek bir saldırganın yapacağı tüm yöntemlerle test ediyoruz. Hangi açıklar var? Hangi veri çalınabilir? Hangi sistemler ele geçirilebilir?

Her bulguyu CVSS v3.1 skoru · kanıt (PoC) ve çözüm önerisi ile raporluyoruz. Re · test ücretsiz.

Kapsam

Web Uygulaması Pentest

  • OWASP Top 10 (2021 versiyonu)
  • OWASP ASVS L2 / L3 uyum kontrolü
  • API security (REST · GraphQL · gRPC)
  • JWT · OAuth2 · SAML zayıflıkları
  • Race conditions · IDOR · SSRF · SSTI
  • Business logic flaws (otomatik tarayıcıların yakalayamadıkları)

Mobil Uygulama Pentest

  • iOS (Frida · Cycript · MobSF)
  • Android (Drozer · MobSF · JADX)
  • Statik analiz (binary reverse engineering)
  • Dinamik analiz (runtime manipulation)
  • API trafiği (Burp Suite + SSL Pinning bypass)

Ağ & Altyapı Pentest

  • External pentest (internet'ten görünen yüzey)
  • Internal pentest (içeriden saldırı simülasyonu)
  • Wireless pentest (WPA2/WPA3 · Evil Twin)
  • Active Directory (Kerberoasting · Pass · the · Hash · Golden Ticket)

Sosyal Mühendislik

  • Phishing kampanyası (gerçek senaryo)
  • Spear phishing (CEO/CFO hedefli)
  • Vishing (telefon ile)
  • Fiziksel sızma (tailgating · USB drop)

Metodoloji

Standardımız: PTES (Penetration Testing Execution Standard) + NIST SP 800 · 115.

  1. Pre · engagement · Scope · NDA · Rules of Engagement
  2. Intelligence Gathering · OSINT · recon
  3. Threat Modeling · Saldırgan profili
  4. Vulnerability Analysis · Otomatik + manuel
  5. Exploitation · Gerçek istismar
  6. Post · Exploitation · Lateral movement · privilege escalation
  7. Reporting · Executive summary + teknik detay
  8. Re · test · Düzeltmelerin doğrulanması (30 gün içinde ücretsiz)

Rapor Örneği

Her bulgu için:

[KRİTİK] CVE · DSET · 2026 · XXX
─────────────────────────
Başlık: SQL Injection in /api/users/search
CVSS: 9.8 (Critical) · AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Etki:
 Saldırgan yetkili olmadan tüm kullanıcı veritabanını dump edebilir.
 Müşteri PII'leri · hash'lenmiş parolalar ve API token'lar erişilebilir.

PoC:
 GET /api/users/search?q=admin' UNION SELECT id · email · password FROM users · -
 → JSON yanıtı içinde 14 · 837 kullanıcı hash'i

Çözüm:
  - Parameterized query (PreparedStatement) kullanın
  - Input validation: regex /^[a · zA · Z0 · 9\s]{2 · 50}$/
  - WAF kuralı: OWASP CRS SQL injection rule set
  - Logging: tüm /api/users/search isteklerini SIEM'e gönderin

Fiyatlandırma

Fiyat için lütfen iletişime geçiniz · ekibimiz 48 saat içinde size özel teklif sunar.

+90 536 662 38 09 · [email protected]

Hemen Başlatın

Şirketinizin saldırı yüzeyini bilmediğiniz sürece · savunma yapmıyorsunuz · bekliyorsunuz.

+90 536 662 38 09 WhatsApp danışmanlık [email protected]

Pentest yaptırmak pahalı değildir. Saldırıya uğramak pahalıdır.