Yazar: kullanici2

Windows Domain Pentest Senaryosu

Windows Domain Pentest senaryosu, kurumun merkezi yönetim kalbi olan Active Directory (AD) yapısındaki yapılandırma hatalarını ve yetki hiyerarşisindeki boşlukları hedef alan bir saldırı simülasyonudur. Süreç; ağdaki isim çözümleme protokollerinin (LLMNR/NBT-NS) suistimal edildiği Keşif, servis biletlerinin çalındığı Kerberoasting, parola özetleriyle sistemler arası geçiş yapılan Pass-the-Hash ve nihai hedef olan Domain Admin yetkisine ulaşılması aşamalarından oluşur. Bu senaryo, “Assume Breach” (Sızma Gerçekleşti) varsayımıyla hareket ederek, tek bir kullanıcı bilgisayarından tüm kurumsal ağın nasıl ele geçirilebileceğini teknik kanıtlarla ortaya koyar.

REST API Pentest (API Sızma Testi)

Sızma Testi (Pentest) Hizmeti

REST API Pentest, modern uygulamaların veri alışverişi sağlayan uç noktalarının (endpoints) güvenliğini doğrulamak amacıyla yapılan teknik bir denetim sürecidir. Bu süreç; API dokümantasyonunun incelendiği Keşif, yetki kontrollerinin zorlandığı BOLA/BOPLA Testleri, veri girişlerinin denetlendiği Enjeksiyon Analizleri ve hız sınırlama gibi İş Mantığı kontrollerinden oluşur. Özellikle “görünmez” arka plan servislerini hedef alan bu testler, kitlesel veri sızıntılarını önlemek ve mikro servis mimarilerindeki yetkilendirme hatalarını saptamak için siber dayanıklılığın en kritik bileşenidir.

Sızma Testi Süreçleri (Pentest Methodology)

Sızma Testi Türleri Nelerdir? -Sibertim

Sızma testi, rastgele denemeler yerine uluslararası standartlara (PTES, NIST, OWASP) dayalı metodolojik bir süreçtir. Operasyon; hedefin sınırlarının çizildiği Hazırlık, veri toplamanın yapıldığı Keşif, açıkların arandığı Zafiyet Analizi, bu açıkların kullanıldığı İstismar, sistemde derinleşilen Post-Exploitation ve tüm bulguların iş riskine dönüştürüldüğü Raporlama aşamalarından oluşur. Bu disiplinli yaklaşım, sadece açıkların listelenmesini değil, bir saldırganın kurumun en kritik verilerine hangi yollarla ulaşabileceğini somut olarak kanıtlar.

Kerberoasting Nedir?

Kerberoasting, bir saldırganın Active Directory ağındaki servis hesaplarına (SPN) ait biletleri (Ticket Granting Service – TGS) talep ederek, bu biletlerin şifrelenmiş kısımlarını çevrimdışı (offline) ortamda kırmaya çalıştığı bir saldırı türüdür. Bu teknik, bir yazılım açığına ihtiyaç duymadan, Kerberos protokolünün çalışma prensibini suistimal eder ve düşük yetkili bir kullanıcıdan yüksek yetkili servis hesaplarına geçiş imkanı tanır.

Sızma Testi (Pentest) Nedir?

Sızma Testi (Pentest) Hizmeti

Sızma testi, bir kurumun dijital varlıklarını korumak amacıyla gerçekleştirilen, etik sınırlara sahip simüle edilmiş bir siber saldırı operasyonudur. Sadece zafiyetleri listelemekle kalmaz, bu zafiyetlerin gerçek bir saldırgan tarafından nasıl istismar edilebileceğini kanıtlayarak (PoC) kurumun siber bağışıklığını ölçer.

Privilege Escalation (Yetki Yükseltme) Yöntemleri

Privilege Escalation (Yetki Yükseltme), bir saldırganın sistemde elde ettiği kısıtlı erişimi, yapılandırma hataları veya yazılım açıklarını kullanarak en üst seviyeye (Root/SYSTEM) taşıma sürecidir. Dikey Yetki Yükseltme ile bir admin yetkisi hedeflenirken, Yatay Yetki Yükseltme ile aynı seviyedeki diğer kullanıcıların verilerine odaklanılır. Kernel istismarları, yanlış yapılandırılmış servisler ve planlanmış görevlerin manipülasyonu, bu sürecin en sık kullanılan teknikleridir. Savunma tarafında ise “En Az Yetki İlkesi” (PoLP) ve sistem sıkılaştırma (Hardening), saldırganın hareket alanını kısıtlayan en etkili bariyerlerdir.

Sızma Testi Türleri (Black Box, White Box, Grey Box)

Sızma Testi Türleri Nelerdir?-Sibertim

Sızma testleri, test uzmanına sağlanan bilgi miktarına göre üç ana kategoriye ayrılır. Siyah Kutu (Black Box), dışarıdaki bir saldırganı simüle ederek hiç bilgi olmadan yapılan testtir; Beyaz Kutu (White Box), kaynak kod dahil tüm bilgilerin verildiği en kapsamlı mimari analizdir; Gri Kutu (Grey Box) ise standart bir kullanıcı yetkisiyle yapılan ve içeriden gelen tehditleri simüle eden hibrit modeldir. Kurumsal siber dayanıklılık, bu üç yaklaşımın risk profiline göre dengeli kullanımıyla inşa edilir.

Sızma Testi Fiyatları (Pentest Maliyeti)

Sızma Testi Fiyatları-Sibertim

Sızma testi fiyatları, sabit bir ürün bedeli yerine; denetlenecek varlıkların sayısı (kapsam), hedefin karmaşıklığı ve testi gerçekleştirecek uzmanın ayıracağı “Adam/Gün” (Man/Day) mesaisi üzerinden hesaplanır. Fiyatlandırmada; web uygulamalarındaki dinamik sayfa sayısı, ağdaki IP adedi ve testin derinliği (manuel istismar seviyesi) birincil rol oynar. Kurumsal bir perspektifte pentest maliyeti, olası bir veri ihlali sonrası ödenecek KVKK cezaları ve itibar kaybı ile kıyaslandığında, şirketin dijital geleceğini koruma altına alan bir yatırım olarak değerlendirilmelidir.

IDOR (Insecure Direct Object Reference) Nedir?

IDOR, bir uygulamanın kullanıcıdan gelen “nesne referansına” (ID, dosya adı vb.) aşırı güvenmesi ve bu referansın kime ait olduğunu sunucu tarafında doğrulamaması sonucu ortaya çıkan kritik bir yetki atlama zafiyetidir. Saldırganın sadece bir parametreyi değiştirerek milyonlarca kullanıcının faturasına, profiline veya özel mesajlarına erişmesine imkan tanıyan bu açık, 2026 dünyasında kitlesel veri ihlallerinin en büyük nedenidir. Savunmanın temel taşı, tahmin edilebilir ID’ler yerine UUID kullanmak ve her istekte Nesne Seviyesinde Yetki Kontrolü (BOLA) gerçekleştirmektir.

Web Pentest Nasıl Yapılır?

Anasayfa Hakkımızda Eğitimlerimiz Yayımlarımız Sızma Testleri Hizmetlerimiz İletişim Web Pentest Nasıl Yapılır? kullanici2 Nisan 9, 2026 Uncategorized Giriş Web uygulamaları, bir kurumun dış dünyaya açılan en geniş ve en dinamik kapılarıdır. Bu dinamizm, beraberinde sürekli değişen bir saldırı yüzeyi getirir. Web Sızma Testi (Web Pentest), bir web uygulamasının güvenliğini değerlendirmek için gerçekleştirilen yetkilendirilmiş bir saldırı […]