Mimikatz Nedir?
Mimikatz, Windows işletim sistemlerinde kimlik bilgilerini (parolalar, hash’ler, PIN’ler ve Kerberos biletleri) bellekten çekmek, manipüle etmek veya taklit etmek için kullanılan dünyanın en popüler post-exploitation aracıdır. Başlangıçta Windows’un güvenlik açıklarını ispatlamak için geliştirilen bu araç, LSASS (Yerel Güvenlik Yetkilisi Alt Sistem Servisi) sürecinin belleğine erişerek hassas verileri dışarı aktarır. Golden Ticket ve Pass-the-Hash gibi saldırı tekniklerini otomatikleştirerek siber saldırganların ağ içerisinde yanal hareket etmesini sağlar. Mimikatz’a karşı en etkili savunma, Credential Guard, LSA Protection ve “En Az Yetki İlkesi” (Least Privilege) katmanlarından oluşur.
XSS (Cross Site Scripting) Açığı Nasıl Çalışır?
XSS (Cross-Site Scripting), bir saldırganın güvenilir bir web sitesine kötü niyetli JavaScript kodları enjekte ederek bu kodları son kullanıcının tarayıcısında çalıştırmasıdır. SQL Injection veri tabanını hedeflerken, XSS doğrudan kullanıcı oturumunu (çerezler, form verileri) hedef alır. Zafiyet; zararlı kodun sunucuda saklandığı Stored, anlık olarak yansıtıldığı Reflected ve istemci tarafında tetiklendiği DOM-based olmak üzere üç ana türe ayrılır. Savunma stratejisi; verinin ekrana basılmadan önce HTML Encoding işleminden geçirilmesi, HttpOnly çerez kullanımı ve İçerik Güvenliği Politikası (CSP) başlıklarının titizlikle yapılandırılması üzerine inşa edilir.
VPN Güvenliği Testi (VPN Security Testing)
VPN güvenliği testi, kurumsal iç ağa açılan bu kritik tünelin dayanıklılığını ölçen teknik bir denetim sürecidir. Operasyon; VPN ağ geçidinin sürüm zafiyetlerinin belirlendiği Keşif, kullanıcı hesaplarının ve MFA katmanlarının zorlandığı Kimlik Doğrulama Saldırıları, şifreleme algoritmalarının incelendiği IKE Analizi ve verinin tünel dışına çıkıp çıkmadığının ölçüldüğü Sızıntı (Leak) Testleri aşamalarından oluşur. Özellikle “Sıfır Güven” (Zero Trust) yaklaşımına geçiş sürecinde VPN’ler, saldırganların ağa sızmak için kullandığı en öncelikli vektör olduğu için düzenli olarak denetlenmeli ve donanım tabanlı MFA gibi ileri seviye güvenlik kontrolleriyle tahkim edilmelidir.
Web Güvenliği Araçları (Web Security Tools)
Web güvenliği denetimleri, karmaşık altyapılardaki zayıf halkaları tespit etmek için hem manuel uzmanlık hem de güçlü otomasyon araçları gerektirir. Profesyonel sızma testlerinde kullanılan araçlar; trafiği manipüle eden Burp Suite, ağ haritasını çıkaran Nmap, veri tabanı açıklarını sömüren SQLmap ve istismar kütüphanesi olan Metasploit gibi endüstri standartlarından oluşur. Bu araçlar, siber saldırganlar zafiyetleri istismar etmeden önce kurumların açıklarını yamamasına, sistemlerini sıkılaştırmasına ve KVKK gibi yasal uyumluluk süreçlerini başarıyla tamamlamasına olanak tanıyan stratejik savunma bileşenleridir.
Yatay Hareket (Lateral Movement) Teknikleri
Yatay Hareket (Lateral Movement), bir saldırganın ağa ilk giriş noktasını sağladıktan sonra, asıl hedefi olan kritik verilere veya sistem yöneticisi yetkilerine ulaşmak amacıyla ağ içerisindeki diğer sistemlere sızma sürecidir. Bu süreç; Keşif, Kimlik Bilgisi Avcılığı ve Erişim/Yayılma döngüsünden oluşur. Saldırganlar genellikle parolaların özet değerlerini kullanan Pass-the-Hash veya Kerberos protokolünü hedef alan Pass-the-Ticket gibi tekniklerin yanı sıra, meşru yönetim araçlarını (WMI, PowerShell Remoting) suistimal ederek iz bırakmadan ilerlemeyi hedefler. Etkili bir savunma için ağ segmentasyonu, LAPS kullanımı ve “Sıfır Güven” (Zero Trust) mimarisi hayati önem taşır.
Türkiye’de Sızma Testi Yasal Boyutu
Türkiye’de sızma testi yaptırmak, teknik bir güvenlik önlemi olmanın ötesinde, KVKK, BDDK, SPK ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi rehberleri tarafından çerçevesi çizilmiş hukuki bir yükümlülüktür. Yasal boyutuyla pentest, Türk Ceza Kanunu kapsamında “bilişim sistemine yetkisiz girme” suçunun oluşmaması için yazılı rıza ve sözleşme ile yürütülen bir “hukuka uygunluk” sürecidir. Özellikle KVKK Madde 12 uyarınca veri sorumlusunun alması gereken “teknik tedbirler” arasında sayılan bu testler, olası bir veri ihlalinde kurumun yasal sorumluluğunu hafifleten ve “gerekli özeni” gösterdiğini kanıtlayan en kritik hukuki dayanaktır.
Red Team vs Blue Team vs Purple Team
Siber güvenlik operasyonlarında ekipler; rollerine göre Red Team (Saldırı/Ofansif), Blue Team (Savunma/Defansif) ve Purple Team (İş Birliği/Koordinasyon) olarak sınıflandırılır. Red Team, gerçek dünya saldırılarını simüle ederek zayıf noktaları istismar etmeye odaklanırken; Blue Team, bu saldırıları tespit edip engellemekle yükümlüdür. Purple Team ise bu iki grubun arasındaki iletişimi sağlayarak, saldırı verilerini savunma kurallarına dönüştüren ve kurumun siber bağışıklık sistemini sürekli güncelleyen stratejik bir metodolojidir.
Otomatik vs Manuel Pentest
Otomatik ve manuel sızma testleri birbirinin rakibi değil, tamamlayıcısıdır. Otomatik Pentest, bilinen zafiyetleri (CVE) geniş ölçekte ve hızla tarayarak “operasyonel hijyen” sağlarken; Manuel Pentest, uzman zekasıyla mantıksal hataları (Business Logic Errors) ve karmaşık istismar zincirlerini (Exploit Chains) ortaya çıkarır. 2026’nın sofistike tehdit ortamında, otomasyonun hızı ile insanın yaratıcılığını birleştiren Hibrit Yaklaşım, kişisel verilerin korunması (KVKK) ve siber dayanıklılık için en etkili savunma stratejisidir.
Mobil Uygulama Sızma Testi (Mobile App Pentest)
Mobil Uygulama Sızma Testi, akıllı telefon uygulamalarının cihaz üzerindeki kod yapısını ve sunucuyla olan iletişimini denetleyen çok katmanlı bir güvenlik operasyonudur. Süreç; uygulamanın parçalarına ayrıldığı Tersine Mühendislik, kod içerisindeki zafiyetlerin arandığı Statik Analiz (SAST), çalışma zamanı müdahalelerinin yapıldığı Dinamik Analiz (DAST) ve backend servislerinin sorgulandığı API Testleri aşamalarından oluşur. Özellikle SSL Pinning, Root/Jailbreak tespiti ve güvenli yerel depolama gibi mobil ekosisteme özgü unsurları hedef alan bu testler, kişisel verilerin cihazdan sızmasını önlemek ve kurumsal mikro servisleri korumak için siber dayanıklılığın vazgeçilmez bir parçasıdır.
OWASP Top 10 2026
OWASP Top 10 2026, web uygulamalarını tehdit eden en yaygın ve yıkıcı on güvenlik riskini sıralayan küresel bir standarttır. Liste; kullanıcı yetkilerinin suistimal edildiği Erişim Kontrolü Hataları, veri tabanı manipülasyonuna yol açan Enjeksiyon, hassas verilerin ifşasına sebep olan Kriptografik Hatalar ve sunucu içi servisleri hedef alan SSRF gibi kritik zafiyetleri kapsar. 2026 dünyasında bulut yerel mimariler ve yapay zeka entegrasyonlarıyla karmaşıklaşan bu tehditlere karşı savunma; “Güvenli Yazılım Geliştirme Yaşam Döngüsü” (S-SDLC) ve düzenli sızma testleri ile inşa edilen proaktif bir siber dayanıklılık stratejisi gerektirir.