Web uygulamaları, kurumların dış dünyaya açılan en geniş kapısıdır ve bu nedenle saldırganların birincil hedefidir. SAVKOR’un web uygulama sızma testi hizmeti, uygulamanızı bir saldırganın bakış açısıyla değerlendirerek, otomatik araçların gözden kaçırdığı iş mantığı hatalarını ve zincirlenebilir zafiyetleri ortaya çıkarır.
Testlerimiz OWASP Web Security Testing Guide (WSTG) ve OWASP Top 10 başta olmak üzere uluslararası kabul görmüş metodolojilere dayanır. Amacımız yalnızca açık listelemek değil; her bulgunun gerçekten sömürülebilir olduğunu kanıtlamak, iş üzerindeki etkisini göstermek ve kapatılması için net bir yol haritası sunmaktır.
Test Kapsamı
- Kimlik doğrulama ve oturum yönetimi
- Yetkilendirme ve erişim kontrolleri
- İş mantığı (business logic) zafiyetleri
- Girdi doğrulama: SQL Injection, XSS, SSRF, XXE
- Hassas veri ifşası ve şifreleme kontrolleri
- API ve entegrasyon uç noktaları
Metodoloji
- 01
Keşif & Haritalama
Uygulamanın tüm işlevleri, girdi noktaları ve saldırı yüzeyi çıkarılır; kapsam netleştirilir.
- 02
Zafiyet Tespiti
Otomatik tarama ve manuel test birlikte kullanılarak potansiyel açıklar belirlenir.
- 03
Manuel Doğrulama & Sömürü
Her bulgu manuel olarak doğrulanır; sömürülebilirliği güvenli biçimde kanıtlanır (yanlış pozitif elenir).
- 04
Etki Analizi
Her açığın iş etkisi ve risk seviyesi (olasılık × etki) hesaplanır, önceliklendirilir.
- 05
Raporlama & Sunum
Bulgular, kanıtlar ve çözüm önerileri raporlanır; teknik ve yönetici ekiplere sunulur.
Teslimatlar
- Yönetici özeti ve genel risk görünümü
- Her bulgu için teknik detay, kanıt (PoC) ve ekran görüntüleri
- OWASP / CVSS eşleştirmesi ve risk puanı
- Önceliklendirilmiş, uygulanabilir çözüm önerileri
- Düzeltme sonrası yeniden test (retest) ve kapanış dokümanı
Sık Sorulan Sorular
Test canlı ortamda mı yapılır?
Tercihen test/staging ortamında yapılır. Canlı ortam gerekiyorsa, operasyonel riski en aza indiren kontrollü bir plan üzerinde mutabık kalınır.
Testin uygulamama zarar verme riski var mı?
Sömürü adımları kontrollü ve güvenli biçimde yürütülür. Veri bütünlüğünü tehdit edebilecek testler öncesinde bilgilendirme ve onay alınır.
Ne kadar sürer?
Uygulamanın büyüklüğü ve karmaşıklığına bağlı olarak tipik olarak 5–15 iş günü arasında değişir. Kapsam görüşmesinde net süre belirlenir.