Telefon
WhatsApp

Lütfen Site Dili Seçiniz

Türkçe

Web & API Pentest (OWASP + İş Mantığı) — Kapsamlı Sızma Testi

Web & API Pentest (OWASP + İş Mantığı) — Kapsamlı Sızma Testi
Web & API Pentest (OWASP + İş Mantığı) — Kapsamlı Sızma Testi

Neden Web/API Pentest?

Günümüzde ihlallerin büyük bölümü yalnızca “klasik” güvenlik açıklarından değil; hatalı yetkilendirme, iş akışı suistimalleri, rate limit eksikleri, yanlış konfigürasyon ve hatalı entegrasyonlar gibi “işin doğasında” oluşan zayıflıklardan kaynaklanır.
Bu hizmet ile:

  • Kritik veri sızıntısı ve yetki aşımı risklerini erken yakalarsınız

  • Üretim ortamı kesintileri ve itibar kaybını azaltırsınız

  • Uygulama ve API güvenliğini ölçülebilir şekilde iyileştirirsiniz

  • Denetim/iç kontrol süreçlerinde kanıt niteliğinde rapor elde edersiniz

Kimler İçin Uygun?

  • SaaS / B2B platformları, çok kiracılı (multi-tenant) sistemler

  • E-ticaret (kupon, sepet, ödeme, iade akışları), pazar yeri uygulamaları

  • Mobil uygulama backend’leri, public/private API’ler

  • Üçüncü parti entegrasyonlar (ödeme, kargo, CRM, ERP vb.)

  • Yeni yayına alınacak ürünler, major release öncesi veya yatırım/denetim süreçleri

Kapsam: Neleri Test Ediyoruz?

Aşağıdaki kapsam, uygulamanın tipine göre (web, REST, GraphQL, webhook, WebSocket vb.) uyarlanır.

1) OWASP Odaklı Uygulama Güvenliği Kontrolleri

  • Girdi doğrulama ve güvenli veri işleme kontrolleri

  • Erişim kontrolü ve yetki doğrulama hataları

  • Kimlik doğrulama akışı, oturum yönetimi, token güvenliği

  • Hassas veri sızıntısı, güvenli şifreleme/TLS kontrolleri

  • Güvenli yönlendirme, dosya yükleme, güvenli hata yönetimi

  • SSRF, XSS, injection sınıfı zafiyet kontrolleri (uygulamaya göre)

Not: Buradaki kontroller “checklist” mantığında değil; sisteminizin gerçek kullanımına uygun senaryolarla uygulanır.

2) API Güvenliği (REST / GraphQL / Webhook)

  • Endpoint bazlı erişim kontrolü ve veri sızıntısı riskleri

  • Token/JWT/OAuth akışları, scope/role kontrolleri

  • CORS politikaları, rate limiting/throttling eksikleri

  • Veri şeması doğrulama, versiyonlama ve geriye uyumluluk riskleri

  • Webhook doğrulama ve replay korumaları (varsa)

3) İş Mantığı Zafiyetleri (Business Logic)

Sistem “doğru çalışıyor gibi görünürken” kötüye kullanılabilir. Bu bölüm özellikle değerlidir.

  • Sipariş/ödeme/iade akışlarında suistimal senaryoları

  • Kupon/indirim/puan/limit aşımı, fiyat manipülasyonları

  • Çok adımlı süreçlerde adım atlama / state manipulation

  • Çok kiracılı yapılarda tenant izolasyonu ve veri ayrışması

  • Yetki sınırlarının “iş kuralı” üzerinden aşılması

4) Kimlik Doğrulama & Yetkilendirme (AuthN / AuthZ)

  • Kullanıcı rolleri, RBAC/ABAC mantığı, admin/operatör panelleri

  • Yetki yükseltme (privilege escalation) ve kaynak bazlı erişim kontrolleri

  • Oturum yönetimi, “remember me”, cihaz/oturum sınırlandırmaları

  • MFA/2FA varsa bypass riski ve zayıf konfigürasyonlar

  • Hesap ele geçirme riskleri: parola politikası, kilitleme/deneme limitleri

5) Güvenli Konfigürasyon & Hardening Kontrolleri

  • Güvenlik header’ları (CSP, HSTS, X-Frame-Options vb.)

  • Cookie ayarları (HttpOnly, Secure, SameSite), CSRF korumaları

  • Debug modları, hatalı loglama, gizli anahtar/sır sızıntısı

  • Sunucu/uygulama konfigürasyonu, gereksiz servisler, dizin listeleme vb.

  • Bulut/edge yapılarına göre temel kontroller (varsa)

Test Yaklaşımı (Nasıl Çalışıyoruz?)

İhtiyacınıza göre Black-Box, Gray-Box veya White-Box yaklaşımı uygularız.

  1. Kapsam & hedef belirleme: Uygulama modülleri, ortamlar, test sınırları

  2. Keşif & tehdit modelleme: Akışlar, roller, kritik varlıklar

  3. Senaryo bazlı test: OWASP + iş mantığı + auth kontrolleri

  4. Bulguların doğrulanması: Yanlış pozitifleri ayıklama, risk derecelendirme

  5. Raporlama & toplantı: Yönetici özeti + teknik detaylar + aksiyon planı

  6. Retest (opsiyonel / pakete bağlı): Düzeltmeler sonrası doğrulama

Teslimat (TR/EN Rapor + Kanıtlar)

Teslimatta genellikle şunlar yer alır:

  • Executive Summary (yönetici özeti): Risk seviyesi, etki, öncelikler

  • Teknik bulgu detayları: Etkilenen endpoint/akış, risk, açıklama

  • Kanıt (PoC) & yeniden üretim adımları: güvenli ve kontrollü şekilde

  • Düzeltme önerileri: kısa vadeli “hızlı kazanımlar” + uzun vadeli öneriler

  • Önceliklendirme: kritik → yüksek → orta → düşük

  • İsteğe bağlı: Jira/GitHub issue formatında çıktı, retest raporu

Süre ve Kapsam Nasıl Belirlenir?

Süre; endpoint sayısı, rol/akış sayısı, entegrasyonlar, test ortamı ve erişim seviyesine göre değişir. En doğru planlama için kısa bir ön görüşmede:

  • Uygulama türü (web/API), teknoloji, ortam bilgisi

  • Rol matrisi (admin, user, vendor vb.)

  • Kritik akışlar (login, ödeme, veri dışa aktarma, yönetim paneli)

  • Test edilecek domain / IP / environment listesi
    belirlenir ve net bir kapsam dokümanı çıkarılır.

 

HİZMETLER

Bize Soru Sorun

Bizimle iletişime geçmek ve soru sormak için iletişim butonuna tıklayınız.

İLETİŞİM

Bize Ulaşın

TEKLİF FORMU

Siber Güvenlik, Yazılım ve Danışmanlık Hizmetleri

Bizi takip edin

Site İçi Bağlantılar

Çalışma Saatleri

Pazartesi: 09:00 - 17:00

Salı: 09:00 - 17:00

Çarşamba: 09:00 - 17:00

Perşembe: 09:00 - 17:00

Cuma: 09:00 - 17:00

Cumartesi: 09:00 - 14:00

Pazar: KAPALI

Copyright © 2026 Liyalp Software | Her Hakkı Saklıdır.