PCI-DSS scope e-ticaret platformunda OWASP ASVS L2 pentest · 3M müşteri · 14 iş günü
Türkiye'nin ilk 5 e-ticaret platformundan biri için Black Friday öncesi 14 iş günü tam kapsam Red Team. 12 servis · web + mobil + API · ödeme + kupon + sepet + admin. PCI-DSS scope · 3M MAU · 8M kart kaydı. 3 Critical + 7 High + 12 Medium · tümü Black Friday'a kapatıldı.
01 Karşılaşılan Durum
Black Friday'a 18 gün kala CTO acil pentest istedi · geçen yıl bir rakip platform kart bilgisi sızıntısı yaşamıştı. 3M aktif müşteri · 8M kayıtlı kart · PCI-DSS scope yıllık denetim 6 hafta sonra. 12 servis (auth · ödeme · kart · sepet · kupon · vendor · iade · search · review · stok · CMS · CRM). OWASP ASVS Level 2 zorunlu · sertifikalı QSA denetimi de yaklaşıyor. DSET hibrit metodoloji ile (otomatik + manuel iş mantığı) tam kapsam test yapacak.
02 DSET'in Yaklaşımı
Hafta 1 · Kapsam + recon
260 API endpoint · 23 subdomain (4 staging exposed) · 187 cookie · CSP/HSTS audit. SAST için repo erişimi + DAST için staging environment. Threat model + saldırı senaryosu çıkarıldı.
Hafta 2 · İş mantığı testleri
Critical bulgu #1: staging.api.* auth bypass → production user enumeration. Critical #2: kupon stack attack 18 kupon · -%97 indirim. Critical #3: IDOR ile başka kullanıcı order detail görüntüleme.
Hafta 2 · Race condition + ödeme
Stock check vs reserve arasında 200ms race condition · arbitrage saldırısı kanıtlandı. Payment gateway'de currency manipulation testi · 1 high bulgu.