Penetrasyon Testi (Pentest) Hizmeti: Güvenlik Değerlendirme Rehberi [2026]

Penetrasyon Testi Nedir?

Penetrasyon testi (kısaca "pentest"), bir yazılım, ağ veya sistem üzerinde yapılan ve saldırganın perspektifinden güvenlik açıklarını bulma çalışmasıdır. Önemli bir nokta: bu, yasal ve izinli bir saldırıdır. Sisteme gerçekten saldırılıyor, ama amaç, açıkları bulmak ve kapatmaktır - kötü niyetli bir amaç değildir.

Penetrasyon testinin işletme değeri, bir proaktif tanı gibidir. Doktor, hastalık olsa da olmasa da sağlık kontrolü yaptırıyor demiş. Benzer şekilde, yazılım saldırı altında olmasa da, potansiyel açıkları belirlemek için test yapılıyor.

Neden Penetrasyon Testi Yapılmalı?

Mali Nedenler

• Veri ihlali ortalama maliyeti: 4.8 milyon dolar (2025 Verizon raporunu)
• Penetrasyon testi maliyeti: 5.000 - 50.000 dolar aralığında (uygulama karmaşıklığına bağlı)
• ROI: Testlerden sonra açıklar kapatılırsa, ihlal riski yüzde 85 azalır

Matematiksel olarak:

• Penetrasyon testinin maliyeti: 15.000 dolar
• İhlal olasılığı (test olmadan): yüzde 8
• İhlal maliyeti: 4.800.000 dolar
• Beklenen zarar: 4.800.000 × yüzde 8 = 384.000 dolar
• Testin Risk Azaltma Değeri: 384.000 dolar - (384.000 dolar × yüzde 15) = 326.400 dolar

Başka bir deyişle, 15.000 dolarlık test, 326.400 dolarlık olası zararı azaltıyor.

Düzenleyici Nedenler

• KVKK: "Kişisel verilerin güvenliğini sağlamak" maddesinde güvenlik testleri dolaylı olarak gerekli
• ISO 27001: bilgi güvenliği sertifikasyonu için penetrasyon testleri zorunlu
• PCI-DSS: ödeme kartı işleyen şirketler için yılda bir kez testi zorunlu
• GDPR: "Security by Design" kapsamında risk değerlendirme ve testleri teşvik ediyor
• Sektörel yönetmelikler: finans, sağlık, telekomünikasyon kendi standartları var

Operasyonel Nedenler

• Önceden bilinmeyen açıkları keşfetme
• Geliştirme ekibinin güvenlik farkındalığını artırma
• İş ortaklarına ve müşterilere güvenlik kanıtı gösterebilme
• Sigorta primlerini azaltma (sigorta şirketleri test raporlarını ister)

Penetrasyon Testi Türleri

1. Black Box Penetrasyon Testi

Nedir? Saldırıcı, hedef sistem hakkında hiçbir bilgiye sahip değildir. Sistemi dışarıdan keşfederek başlar.

Avantajları:

• Gerçekçi saldırı simülasyonu
• Harici saldırılardan ne kadar korunduğu görülüyor
• Keşif aşamasındaki zayıflıkları ortaya koyan

Dezavantajları:

• Zaman alıcı (keşif fazı uzun)
• Daha pahalı (uzun sürü = yüksek maliyet)
• Bazı açıklar bulunmayabilir (sistem çok iyi saklanmışsa)

Uygun Olduğu Durumlar: Dış tehditlere karşı hazırlık, e-ticaret siteler, müşteri portalları

2. White Box Penetrasyon Testi

Nedir? Saldırıcı, kaynak kodu, mimaridokumanları, sistemin tamamı hakkında bilgiye sahiptir.

Avantajları:

• Tüm sistem ayrıntılarının incelenmesi mümkün
• Daha fazla açık bulunma olasılığı
• Daha hızlı test (keşif fazı kısa)
• Daha ucuz (hızlı olduğu için)

Dezavantajları:

• Gerçekçi saldırı simülasyonundan uzak
• İç tehdit senaryolarına odaklanıyor
• Dış saldırıların nasıl başlayacağı anlaşılmıyor

Uygun Olduğu Durumlar: İç ağ güvenliği, yeni uygulama canlıya alınmadan, DevSecOps sürecinde

3. Grey Box Penetrasyon Testi

Nedir? Saldırıcı, kısmi bilgiye sahiptir - tipik bir müşteri veya iç çalışan gibi.

Avantajları:

• Yapılı ve kontrollü
• Hem gerçekçi hem de verimli
• Çoğu senaryo için ideal

Dezavantajları:

• Bilgi seçimi yapılması gerekir

Uygun Olduğu Durumlar: Çoğu gerçekçi senaryo, güvenlik değerlendirmesi

Penetrasyon Testinin Hedefi Türleri

Web Uygulama Penetrasyon Testi

Web tabanlı uygulamalardır (e-ticaret, muhasebe yazılımı, CRM, vb.).

Test Kapsamı:

• Otantikasyon (giriş) mekanizması
• Oturum yönetimi (session)
• Erişim kontrolleri (kim ne görebilir)
• Veri işleme (upload, form gönderimi)
• API uç noktaları (eğer varsa)
• Paydaş entegrasyonları

Ortalama Maliyet: 8.000 - 20.000 dolar

Süre: 1-2 hafta

Mobil Uygulama Penetrasyon Testi

iOS ve Android uygulamalarının test edilmesidir.

Test Kapsamı:

• Yerel güvenlik (sandbox kaçışı)
• API güvenliği (uygulamanın arka uca bağlantısı)
• Veri depolama güvenliği (telefonun hafızasında veri güvenliği)
• Kimlik doğrulama ve oturum
• Kripto kütüphaneleri
• Ayrıcalık yükselme (privilege escalation)

Ortalama Maliyet: 10.000 - 25.000 dolar

Süre: 2-3 hafta

Ağ Penetrasyon Testi

Firmanın iç ağının, VPN'nin, firewall'ının test edilmesidir.

Test Kapsamı:

• Dış ağ (DMZ) güvenliği
• Iç ağ segmentasyonu
• Wireless güvenliği (Wi-Fi)
• Fiziksel güvenlik (Badge, lock)
• VPN güvenliği
• Sosyal mühendislik (phishing)
• Sunucu yapılandırması

Ortalama Maliyet: 15.000 - 35.000 dolar

Süre: 2-4 hafta

API Penetrasyon Testi

Özellikle mikroservis mimarisinde, API'lerin test edilmesidir.

Test Kapsamı:

• Otentikasyon (API Key, OAuth)
• Rate Limiting
• Veri doğrulaması
• Çapraz kaynak paylaşımı (CORS)
• Versionlama güvenliği
• Loglama ve monitoring

Ortalama Maliyet: 7.000 - 15.000 dolar

Süre: 1-2 hafta

IoT (Nesnelerin İnterneti) Penetrasyon Testi

Gömülü sistemler, sensörler, akıllı cihazların test edilmesidir.

Test Kapsamı:

• Cihaz güvenliği
• Fırmalı yazılım (firmware) analizi
• Haberleşme protokolleri
• Bulut entegrasyonu
• Fiziksel erişim
• Radyo frekansı (RF) güvenliği

Ortalama Maliyet: 20.000 - 50.000+ dolar

Süre: 3-6 hafta

Penetrasyon Testi Metodolojileri

Profesyonel penetrasyon testleri, standart metodolojiler izlenerek yapılmaktadır. Başlıca metodolojiler:

OWASP Testing Guide

Web uygulamalarına spesifiktir. 12 kategori ve 100+ test durumu içerir.

PTES (Penetration Testing Execution Standard)

Tekniklerden ziyade, süreci ve raporlamayı standardize eden bir metodoloji. 7 ana aşama:

1. Ön iletişim (Pre-engagement)
2. İstihbarat (Intelligence Gathering)
3. Tehdit modelleme (Threat Modeling)
4. Zafiyet analizi (Vulnerability Analysis)
5. Açıkların kullanılması (Exploitation)
6. Raporlama (Reporting)
7. Temizlik (Cleanup)

NIST Cybersecurity Framework

Genel siber güvenlik kapsamında penetrasyon testini tanımlıyor.

Penetrasyon Testi Süreci

Aşama 1: Ön İletişim ve Kapsam Belirleme

• Müşteri ile görüşme
• Test edilecek sistemlerin sınırlarını belirleme
• "Out of Scope" öğelerini tanımlama (test yapılmayacak şeyler)
• Yasal anlaşma (NDA, Test Agreement) imzalama
• Zaman ve bütçe kararı

Süre: 1-2 gün

Aşama 2: İstihbarat (Reconnaissance)

• Pasif istihbarat (sisteme dokunmadan bilgi): WHOIS, DNS, open source OSINT
• Aktif istihbarat (sistemi keşfederek): port taraması, servis sürümü belirleme
• Sosyal mühendislik istihbaratı (açık kaynaktan şirket yapısı öğrenme)

Çıktı: Hedef sistem listesi, açık portlar, çalışan servisler

Aşama 3: Zafiyet Analizi

• Otomatik taraçlar kullanılması (Nessus, OpenVAS, Burp Suite)
• Elle yapılan inceleme (manual testing)
• Bulunun zafiyetlerin doğrulanması (false positive'ler filtreleme)

Çıktı: Zafiyetlerin listesi, ciddiyet seviyeleri

Aşama 4: Açıkların Kullanılması (Exploitation)

Bulunan açıkları gerçekten kullanmayı deneyen aşama. Penetrasyon testinin en riskli kısmı.

• Erişim alması (Initial Access)
• Yetki yükseltmesi (Privilege Escalation)
• Lateral Movement (ağda başka sistemlere erişme)
• Veri çıkarması (Data Exfiltration)

Dikkat: Bu aşamada, test kapsamının dışına çıkılmaması kritiktir.

Aşama 5: Raporlama

Keşfedilen tüm zafiyet ve açıklarla ilgili ayrıntılı bir rapor:

• Zafiyetin açıklaması
• Riskinin ciddiyeti (Kritik, Yüksek, Orta, Düşük)
• Kanıt (ekran görüntüleri, loglar)
• Yeniden üretme adımları
• Düzeltme önerileri
• Kaynaklar ve linkler

Aşama 6: Temizlik

• Test sırasında kullanılan dosyaların silinmesi
• Yüklenen araçların kaldırılması
• Log dosyalarından test izlerinin silinmesi
• Erişim haklarının geri alınması

İyi Bir Penetrasyon Testi Raporu Nedir?

Profesyonel bir rapor şunları içermelidir:

İcmal (Executive Summary)

• Testin amaçı
• Tarih aralığı
• Testin kapsamı
• Ana bulgular
• Genel risk puanı

Teknik Özet (Technical Summary)

• Testin metodolojisi
• Kullanılan araçlar
• Bulunun toplam zafiyet sayısı

Zafiyetler (Detailed Findings)

Her zafiyet için:

• Başlık ve ID
• Ciddiyeti (CVSS puan sistemine göre)
• Bulunduğu yer (URL, IP, dosya)
• Ayrıntılı açıklama
• Tekrar üretme adımları
• Kanıt (ekran görüntüleri)
• Düzeltme önerileri
• Kaynaklar

Düzeltme Stratejisi (Remediation Strategy)

• Hangi açıkları önce kapatmalı
• Kapanması ne kadar zaman alabilir
• Sorumlu takım/kişi
• Takip süreci

Ekler (Appendices)

• Kullanılan araçların listesi
• Test esnasında indirilen dosyaların özeti
• Başarısız denemeler hakkında not
• Test sırasında oluşturulan loglar

Penetrasyon Testi Sıklığı Önerileri

Yıllık Test (Minimum)

• Tüm işletmelerin yapması tavsiye edilen
• En azından bir kez yılda

Altı Ayda Bir

• Kritik verileri işleyen sistemler (banka, hastane)
• Düzenli olarak güncellenmiş ve değiştirilmiş sistemler

Üç Ayda Bir

• Finansal kurumlar (BDDK tarafından talep edilebilir)
• Kamu kurumları
• Kritik altyapı

Araya Sıva Testleri

Büyük bir yapısal değişiklik yapıldığında:

• Yeni bir özellik ekleme
• Üçüncü taraf yazılım entegrasyonu
• Ağ yapısında değişiklik
• Bulut ortamına geçiş

Penetrasyon Testi Maliyetinin Faktörleri

Faktör	Etki	Örnek
Uygulama Karmaşıklığı	Yüksek	Basit form app: 5K, Microservices: 30K+
Sistem Boyutu	Yüksek	10 API endpoint: 8K, 100 endpoint: 25K
Test Türü	Yüksek	White Box: 8K, Black Box: 20K
Zaman Kısıtı	Orta	Standart: 15K, Hızlı (rush): +30%
Lokasyon	Düşük	Türkiye: 8K-25K, ABD: 20K-60K
Test Sertifikası	Düşük	Sertifikalı (CEH/OSCP): +20%

Penetrasyon Testi Sonrası Adımlar

1. Açıkları Duruma Ayırma

• Acil açıklar: 7 gün içinde kapatılması
• Yüksek: 30 gün içinde
• Orta: 90 gün içinde
• Düşük: Sonraki sürüme (6 ay)

2. Düzeltme Doğrulaması

Her açık kapatıldıktan sonra, aynı şekilde test edilmesi gerekir. Buna "Re-test" denir.

3. Komite Takibi

Açıkların kapatılmasını takip eden bir komite (örn. Bilgi Güvenliği Komitesi) oluşturulmalıdır.

4. Geliştiricilerin Eğitilmesi

Bulunun açıklar hakkında, neden oluştuğu ve nasıl kaçınılacağı hakkında eğitim verilmesi.

5. Otomatik Testler

Geliştirme sürecine SAST/DAST araçları entegre edilmesi, böylece benzer açıklar tekrarlanmayacak.

Penetrasyon Testinin Riskleri

Eğer test iyi planlanmamışsa, zararlar meydana gelebilir:

• Sistemin çökmesi (DoS)
• Veri kaybı
• Hizmetin kesintiye uğraması
• Müşteri etkilenmesi

Mitigasyon:

• Üretim ortamında test yapmıyorum (test ortamında yapılır)
• Yazılı izin
• Gerekirse bağlantı kesilmesi anlaşması
• Sigorta kapsamı kontrolü
• Testçi yetkinliği

Penetrasyon Testi Hizmeti Seçme Kriteri

Kalite İndisatörleri

• Sertifikasyon (GPEN, OSCP, CEH)
• Referanslar ve müşteri portföyü
• Teknik raporun detayı
• Yetkilendirme (kaç yıl deneyim)

Hizmet Seviyeleri

• Raporlama kalitesi
• Danışmanlık (nasıl düzeltileceği)
• Re-test hizmeti (açıklar kapandıktan sonra tekrar test)
• 24/7 destek (acil sorular için)

Penetrasyon Testi ile Başlamak

Eğer sisteminiz henüz test edilmediyse veya güvenlik hakkında şüpheleriniz varsa:

1. Kapsamı Belirleyin: Hangi sistem test edilecek?
2. Test Türünü Seçin: Black, White, ya da Grey Box?
3. Bütçe Oluşturun: Tipik olarak 5.000 - 50.000 dolar aralığı
4. Sağlayıcı Seçin: Türkiye'de iyi penetrasyon test şirketleri mevcut
5. Takvim Planı: Test öncesi yapılması gerekenler
6. Sonuç Yönetimi: Açıkları kapatma süreci

Yazılım güvenliğinin kapsamlı bir değerlendirmesi için Siber Güvenlik ve Yazılım Güvenliği Hizmetleri rehberi incelenmelidir. Ayrıca API Güvenliği konularında da testler yapılmalıdır.

Smart Maple, bağımsız penetrasyon test şirketleri ile işbirliği yaparak, müşterilerine güvenlik değerlendirmesi hizmetleri sunmaktadır. Uygulamalarınızın güvenliğini değerlendirmek için smart-maple.com adresinden iletişime geçin.