Pentest (Sızma Testi): Saldırgan Gözüyle · Korumacı Eliyle
OWASP ASVS L2 · PTES · NIST SP 800 · 115 standartlarında web · mobil · ağ pentest. Bulguların CVSS skoru ve PoC ile raporlandığı tek Türk firma.
Sistemini Kim Kıracaksa · Sen Olmalısın · Saldırgandan Önce
Bir kurum siber saldırıya uğradığında · kaybedilen ilk şey veri değil · müşteri güvenidir. İkinci kayıp ise: önceden bir pentest yaptırsaydı bu olmazdı · gerçeğidir.
Pentest = Sızma testi = Yetkili saldırı simülasyonu. Sizin sistemlerinizi · gerçek bir saldırganın yapacağı tüm yöntemlerle test ediyoruz. Hangi açıklar var? Hangi veri çalınabilir? Hangi sistemler ele geçirilebilir?
Her bulguyu CVSS v3.1 skoru · kanıt (PoC) ve çözüm önerisi ile raporluyoruz. Re · test ücretsiz.
Kapsam
Web Uygulaması Pentest
- OWASP Top 10 (2021 versiyonu)
- OWASP ASVS L2 / L3 uyum kontrolü
- API security (REST · GraphQL · gRPC)
- JWT · OAuth2 · SAML zayıflıkları
- Race conditions · IDOR · SSRF · SSTI
- Business logic flaws (otomatik tarayıcıların yakalayamadıkları)
Mobil Uygulama Pentest
- iOS (Frida · Cycript · MobSF)
- Android (Drozer · MobSF · JADX)
- Statik analiz (binary reverse engineering)
- Dinamik analiz (runtime manipulation)
- API trafiği (Burp Suite + SSL Pinning bypass)
Ağ & Altyapı Pentest
- External pentest (internet'ten görünen yüzey)
- Internal pentest (içeriden saldırı simülasyonu)
- Wireless pentest (WPA2/WPA3 · Evil Twin)
- Active Directory (Kerberoasting · Pass · the · Hash · Golden Ticket)
Sosyal Mühendislik
- Phishing kampanyası (gerçek senaryo)
- Spear phishing (CEO/CFO hedefli)
- Vishing (telefon ile)
- Fiziksel sızma (tailgating · USB drop)
Metodoloji
Standardımız: PTES (Penetration Testing Execution Standard) + NIST SP 800 · 115.
- Pre · engagement · Scope · NDA · Rules of Engagement
- Intelligence Gathering · OSINT · recon
- Threat Modeling · Saldırgan profili
- Vulnerability Analysis · Otomatik + manuel
- Exploitation · Gerçek istismar
- Post · Exploitation · Lateral movement · privilege escalation
- Reporting · Executive summary + teknik detay
- Re · test · Düzeltmelerin doğrulanması (30 gün içinde ücretsiz)
Rapor Örneği
Her bulgu için:
[KRİTİK] CVE · DSET · 2026 · XXX
─────────────────────────
Başlık: SQL Injection in /api/users/search
CVSS: 9.8 (Critical) · AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Etki:
Saldırgan yetkili olmadan tüm kullanıcı veritabanını dump edebilir.
Müşteri PII'leri · hash'lenmiş parolalar ve API token'lar erişilebilir.
PoC:
GET /api/users/search?q=admin' UNION SELECT id · email · password FROM users · -
→ JSON yanıtı içinde 14 · 837 kullanıcı hash'i
Çözüm:
- Parameterized query (PreparedStatement) kullanın
- Input validation: regex /^[a · zA · Z0 · 9\s]{2 · 50}$/
- WAF kuralı: OWASP CRS SQL injection rule set
- Logging: tüm /api/users/search isteklerini SIEM'e gönderinFiyatlandırma
Fiyat için lütfen iletişime geçiniz · ekibimiz 48 saat içinde size özel teklif sunar.
+90 536 662 38 09 · [email protected]
Hemen Başlatın
Şirketinizin saldırı yüzeyini bilmediğiniz sürece · savunma yapmıyorsunuz · bekliyorsunuz.
+90 536 662 38 09 WhatsApp danışmanlık [email protected]
Pentest yaptırmak pahalı değildir. Saldırıya uğramak pahalıdır.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.