İstanbul Sızma Testi (Pentest) Hizmeti: Web, Ağ, Mobil ve API Güvenliği
Hızlı cevap: İstanbul'daki kurumunuzun web sitesi, ağı, mobil uygulaması ya da API'si gerçekten güvenli mi? Sızma testi (pentest), gerçek bir saldırganın yöntemlerini izinli ve kontrollü biçimde kullanarak, kötü niyetli biri bulmadan önce açıklarınızı ortaya çıkaran bir güvenlik denetimidir. DSET, KAOS yapay zeka destekli platformuyla İstanbul firmalarına web, ağ, mobil, API ve bulut testlerini uzaktan ve gerektiğinde yerinde sunar. Tanınmış metodolojilerle (OWASP, PTES, NIST) çalışır, her bulguyu kanıtlar ve düzeltme sonrası ücretsiz yeniden test yapar. Görüşme için: +90 536 662 38 09.
İstanbul firmaları neden öncelikli hedef?
İstanbul, Türkiye'nin ekonomik kalbidir: finans, e-ticaret, lojistik, üretim ve yazılım firmalarının yoğunluğu, kenti saldırganlar için yüksek değerli bir hedef yapar. Yüksek işlem hacmi, çok sayıda çalışan ve geniş tedarik zinciri saldırı yüzeyini büyütür. Otomatik botlar internetteki her IP ve alan adını sürekli tarar, bu yüzden "bizi kim hedefler ki" düşüncesi tehlikelidir, yönetilmeyen her sistem zamanla mutlaka bir açık biriktirir.
Hangi test türlerini sunuyoruz?
- Web uygulaması sızma testi: OWASP Top 10 riskleri (SQL enjeksiyonu, XSS, kırık erişim kontrolü, güvensiz tasarım) ve OWASP WSTG metodolojisi.
- Ağ ve altyapı testi: Dış ve iç ağ, açık portlar, zayıf yapılandırma, yamalanmamış servisler, ayrıcalık yükseltme ve yanal hareket.
- Mobil uygulama testi: Android ve iOS, OWASP MASVS standardına göre.
- API güvenlik testi: OWASP API Security Top 10, kimlik doğrulama ve yetkilendirme kusurları.
- Bulut yapılandırma denetimi: Yanlış yapılandırılmış depolama, kimlik ve erişim ayarları.
Sürecin nasıl işlediğini ve ne zaman gerektiğini sızma testi süreci yazımızda anlattık. Doğru firmayı seçmek için pentest yapan firmalar nasıl seçilir rehberimiz yol gösterir.
Black-box, grey-box, white-box: hangisi size uygun?
Sızma testi, size verilen bilgi düzeyine göre üç yaklaşımla yapılır:
| Yaklaşım | Saldırgana verilen bilgi | Ne zaman uygun |
|---|---|---|
| Black-box | Hiçbir bilgi yok, dış saldırgan simülasyonu | Gerçekçi dış tehdit senaryosu |
| Grey-box | Sınırlı bilgi, örneğin standart kullanıcı hesabı | İçeriden tehdit ve dengeli kapsam |
| White-box | Tam erişim, kaynak kod dahil | En derin, en kapsamlı denetim |
Çoğu kurum için grey-box, derinlik ile gerçekçiliği dengeler. Kritik uygulamalarda white-box ile kaynak kod seviyesinde inceleme öneririz.
Otomatik tarama değil, gerçek test
Piyasada bazı firmalar bir zafiyet tarayıcısını çalıştırıp çıktısını "pentest raporu" diye sunar. Bu yanıltıcıdır: otomatik tarama yalnızca bilinen imzaları işaretler, çok sayıda yanlış alarm üretir ve iş mantığı açıklarını (örneğin bir kullanıcının başkasının siparişini görmesi) asla göremez. Biz manuel test yapar, bulduğumuz açığı kontrollü biçimde sömürüp gerçekten istismar edilebilir olduğunu kanıtlarız. Her bulgu, CVSS ile risk skoru, teknik kanıt ve adım adım düzeltme önerisiyle raporlanır. Düzeltmelerden sonra ücretsiz yeniden test ile kapatıldığını doğrularız.
KVKK uyumu ve uzaktan çalışma modeli
Sızma testi doğası gereği büyük ölçüde uzaktan, saldırgan perspektifiyle yürür, bu yüzden İstanbul firmalarına Ankara merkezli uzman ekibimizle tam kapsamlı hizmet verebiliriz. Kapsam, kurallar ve test penceresi yazılı belirlenir, kritik sistemler korunur. Tüm süreç KVKK uyumlu gizlilik sözleşmesiyle güvence altındadır. Önemli bir nokta: KVKK, kişisel veri işleyen kurumlardan "uygun teknik tedbir" almasını ister ve düzenli sızma testi bu yükümlülüğü karşılamanın en güçlü yollarından biridir, bir veri ihlali davasında alınan teknik tedbirler doğrudan sorumluluğunuzu etkiler.
Bir ihlal yaşadıysanız
Test öncesi zaten saldırıya uğradıysanız, önce web sitemiz hacklendi ne yapmalıyız ve olay müdahale playbook'u adımlarını izleyin, ardından açığın kaynağını kapatmak için sızma testi yaptırın.
Sıkça Sorulan Sorular
Test sistemlerimize zarar verir mi?
Profesyonel test yazılı kapsam ve kurallarla yürür, üretim sistemleri için ek önlemler alınır, yıkıcı testler hariç tutulur, risk planlı yönetilir.
Ne sıklıkla sızma testi yaptırmalıyız?
Yeni bir uygulama ya da büyük değişiklikten sonra ve en az yılda bir. Finans ve e-ticaret gibi yüksek riskli sektörlerde daha sık öneririz.
Otomatik tarama ile pentest farkı nedir?
Tarama bilinen açıkları imzayla işaretler, pentest uzmanın açığı manuel sömürüp kanıtlamasıdır ve iş mantığı kusurlarını da bulur.
İstanbul'da ofisiniz var mı?
Ekibimiz Ankara'dadır, pentest hizmetini uzaktan ve gerektiğinde yerinde sunarız, raporlama ve sunum çevrimiçi yapılır.
Rapor sonrası ne alıyorum?
Yönetici özeti, teknik bulgular, CVSS risk skorları, kanıtlar, önceliklendirilmiş düzeltme yol haritası ve düzeltme sonrası ücretsiz yeniden test.
İstanbul sızma testi hizmeti için: +90 536 662 38 09.