Web Pentest Nasıl Yapılır?

kullanici2

Nisan 9, 2026

Uncategorized

Giriş

Web uygulamaları, bir kurumun dış dünyaya açılan en geniş ve en dinamik kapılarıdır. Bu dinamizm, beraberinde sürekli değişen bir saldırı yüzeyi getirir. Web Sızma Testi (Web Pentest), bir web uygulamasının güvenliğini değerlendirmek için gerçekleştirilen yetkilendirilmiş bir saldırı simülasyonudur.

Sadece otomatik araçlarla zafiyet taraması yapmanın ötesinde, bu süreç karmaşık mantık hatalarını ve zincirleme istismar senaryolarını (exploit chains) açığa çıkarmayı hedefler. 2026 yılı itibarıyla, mikro servis mimarileri ve yapay zeka entegrasyonlarıyla karmaşıklaşan web ekosisteminde, standart bir pentest operasyonu “Hacker” bakış açısını sistematik bir disiplinle birleştirir.

Senaryo: E-Ticaret Platformu Sızma Testi

  • Hedef: “X-Market” e-ticaret platformu.

  • Kapsam: https://www.x-market.com ve bağlı API uç noktaları.

  • Yöntem: Gri Kutu (Grey Box) – Uzmana standart bir kullanıcı hesabı tanımlanmıştır.

1. Adım: Bilgi Toplama ve Keşif (Reconnaissance)

Operasyonun ilk aşaması, hedefin teknoloji yığınını (tech stack) ve saldırı yüzeyini haritalandırmaktır.

  • Teknoloji Tespiti: Sunucunun Nginx olduğu, arka planda PHP 8.x çalıştığı ve PostgreSQL kullanıldığı saptanır.

  • Dizin ve Dosya Keşfi: ffuf veya gobuster araçlarıyla gizli dizinler taranır. /admin_v2 ve /dev_api gibi kritik dizinler keşfedilir.

  • Parametre Analizi: URL yapısındaki id=102 gibi değerlerin SQLi veya IDOR için potansiyel giriş noktaları olduğu not edilir.

2. Adım: Zafiyet Analizi ve Manuel Testler

Bu aşamada, keşfedilen noktalar üzerinde OWASP Top 10 kriterlerine göre testler başlatılır.

  • IDOR Testi: Uzman, kendi profil sayfasındaki user_id=102 değerini 101 olarak değiştirir. Uygulama, yetki kontrolü yapmadan bir başka kullanıcının bilgilerini getirir.

  • XSS Testi: Ürün yorumları kısmına <script>alert(document.cookie)</script> kodu girilir. Sayfa yenilendiğinde kod çalışır (Stored XSS).

3. Adım: İstismar (Exploitation) ve Zincirleme Saldırı

Sızma testinin gerçek gücü, basit bulguları birleştirerek büyük bir etki yaratmaktır.

  • Senaryo: Uzman, API uç noktalarını incelerken /api/v1/debug?file=log.txt parametresinde LFI (Local File Inclusion) zafiyeti bulur.

  • İstismar: file=../../../../etc/passwd denemesiyle sistem dosyalarını okur. Ardından, daha önce “File Upload” kısmında yüklediği resim görünümlü PHP dosyasını (Web Shell) bu LFI açığına enjekte eder.

  • Sonuç: Sunucu üzerinde Uzaktan Komut Çalıştırma (RCE) yetkisi elde edilir.

4. Adım: Yetki Yükseltme ve Kalıcılık (Post-Exploitation)

  • Veritabanı Erişimi: Yapılandırma dosyalarından veritabanı parolalarını çeker. PostgreSQL’e bağlanarak tüm müşteri tablosunu dışarı sızdırır (Data Exfiltration).

  • Kalıcılık: Sisteme bir “arka kapı” (backdoor) bırakarak erişimi garantiler (Raporlama sonrası temizlenir).

5. Adım: Raporlama ve İyileştirme

  • Risk Derecelendirmesi: RCE “Kritik”, IDOR “Yüksek”, XSS “Orta” olarak sınıflandırılır.

  • Çözüm Önerileri: IDOR için “Nesne Seviyesinde Yetki Kontrolü”, RCE için “Girdi Doğrulama” önerilir.

  • Yönetici Özeti: Şirketin tamamen ele geçirilebildiği ve KVKK kapsamında büyük risk altında olduğu vurgulanır.

Riskler ve Etkileri

  • Maddi Kayıp: Çalınan veriler sonucu oluşacak tazminat ve cezalar.

  • Operasyonel Risk: RCE ile sistemin kapatılması veya fidye yazılımı bulaştırılması.

  • Hukuki Sorumluluk: KVKK önünde teknik tedbir yetersizliği.

Önleme ve Güvenlik Önlemleri

  • WAF Konfigürasyonu: Bilinen saldırı paternlerinin engellenmesi.

  • Güvenli Kod Yazımı (Secure Coding): Yazılımcıların OWASP standartlarına göre eğitilmesi.

  • Düzenli Denetim: Büyük değişikliklerden sonra “Retest” yapılması.

Sonuç 

Web Pentest, statik bir rapor üretme süreci değil; yaşayan, gelişen ve kurumun siber bağışıklığını güçlendiren bir operasyondur. Bu gerçek senaryoda gördüğümüz gibi, saldırganlar asla tek bir kapıdan girmezler; buldukları küçük çatlakları birleştirerek kaleye ulaşırlar. 2026 dünyasında siber dayanıklılık, bu çatlakları bir saldırgandan önce bulup profesyonelce yamamaktan geçer. Sızma testi, dijital dünyada “güvendeyiz” yanılgısını yıkan ve gerçeği tüm çıplaklığıyla ortaya koyan en stratejik araçtır. Kişisel verilerin korunması, ancak bu tür derinlemesine ve gerçekçi testlerle mümkün olabilir. 

Tags :
owasp,sızmatesti,WebPentest
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.