Web Uygulama Sızma Testi Nedir? Kapsamlı Rehber (2026)
E-ticaret platformları, müşteri portalları, bankacılık sistemleri, kurumsal ERP’ler — hepsinin ortak noktası: internete açık olmaları. Ve bu açıklık, saldırganlar için vazgeçilmez bir fırsat demek.
Web uygulama sızma testi (web application penetration testing), uygulamanızdaki güvenlik açıklarını kötü niyetli kişilerden önce tespit etmeyi amaçlayan kontrollü saldırı simülasyonudur.
Bu rehberde, testin nasıl gerçekleştirildiğini, ne bulduğunu ve kurumunuz için neden kritik olduğunu Sparta’nın 13 yıllık saha deneyimiyle aktarıyoruz.
İçindekiler 1. Web Uygulama Sızma Testi Nedir? 2. Neden Gereklidir? İstatistikler ve Saha Gözlemleri 3. Test Kapsamı: OWASP Top 10 ve Ötesi 4. Test Aşamaları: Adım Adım Süreç 5. En Sık Bulunan Zafiyetler 6. Web Uygulama Testi ve Zafiyet Taraması: Fark Nedir? 7. Raporu Nasıl Okumalısınız? 8. Ne Sıklıkta Yaptırılmalı? 9. Sonuç |
1. Web Uygulama Sızma Testi Nedir?
Web uygulama sızma testi, bir web uygulamasına gerçek bir saldırgan gibi yaklaşarak güvenlik zafiyetlerini tespit etme ve belgeleme sürecidir. Bu süreç, otomatik tarama araçları, uzman manuel analizi ve iş mantığı testlerini kapsar.
Temel ayrım şudur: Zafiyet taraması bir uygulamada ‘bilinen açıklar var mı?’ sorusunu yanıtlarken, sızma testi ‘bir saldırgan bu uygulamadan ne kadar ilerleyebilir?’ sorusunu yanıtlar. İkincisi, kurumun gerçek riskini ölçmek için çok daha değerlidir.
Test Türü | Ne Sorar? | Derinlik |
Zafiyet Taraması | Bilinen açıklar var mı? | Yüzeysel — otomatik |
Web Uygulama Sızma Testi | Saldırgan ne kadar ilerleyebilir? | Derin — uzman manuel |
Red Team | Kurumun tüm savunması dayanır mı? | Kapsamlı — çok katmanlı |
2. Neden Gereklidir? İstatistikler ve Saha Gözlemleri
Küresel veriler ve Sparta’nın Türkiye saha gözlemleri aynı sonuca işaret ediyor:
Veri Noktası | Kaynak |
Veri ihlallerinin %75’i web uygulaması zafiyetlerinden | Verizon DBIR 2024 |
Ortalama ihlal keşif süresi: 206 gün | IBM Cost of Data Breach 2024 |
Web uygulaması ihlalinin ortalama maliyeti: 4.9M USD | IBM 2024 |
Türkiye: Kurumların %68’i yeterli web güvenlik testi yaptırmıyor | Sparta saha gözlemi |
Türkiye’de 2024’te web uygulama saldırıları %140 arttı | BTK Siber Güvenlik Raporu 2024 |
Sparta olarak son 13 yılda yürüttüğümüz web uygulama testlerinde şunları gözlemledik: Kurumların büyük çoğunluğunun en büyük riski teknik zafiyet değil, iş mantığı hatasıdır. Örneğin bir e-ticaret uygulamasında fiyat manipülasyonu, bir finans platformunda yatay yetki yükseltme — bu açıklar hiçbir otomatik araçla yakalanmaz.
3. Test Kapsamı: OWASP Top 10 ve Ötesi
Uluslararası referans metodoloji OWASP (Open Web Application Security Project) tarafından yayımlanan Top 10 listesidir. Bu liste, web uygulamalarındaki en kritik 10 güvenlik riskini tanımlar. Testlerimiz bu listeyi temel alır, ancak kapsamı çok daha geniş tutar:
OWASP Top 10 (2021) | Açıklama | Sparta Yaklaşımı |
A01: Broken Access Control | Yetkilendirme hataları, IDOR | Manuel + otomatik |
A02: Cryptographic Failures | Zayıf şifreleme, cleartext veri | Trafik analizi |
A03: Injection | SQLi, XSS, XXE, Command Injection | Kapsamlı fuzzing |
A04: Insecure Design | Mimari düzeyinde güvenlik açıkları | Tasarım incelemesi |
A05: Security Misconfiguration | Varsayılan şifre, açık port, hata sayfası | Config denetimi |
A06: Vulnerable Components | Eski kütüphane ve bağımlılıklar | SCA analizi |
A07: Auth Failures | Brute force, oturum hırsızlığı | Auth flow testi |
A08: Software Integrity Failures | CI/CD, güncelleme güvenliği | Pipeline denetimi |
A09: Logging Failures | Yetersiz loglama ve izleme | Log analizi |
A10: SSRF | Sunucu taraflı istek sahteciliği | SSRF senaryoları |
OWASP dışı kapsam: Business logic testleri, API güvenliği (REST/GraphQL), WebSocket güvenliği, dosya yükleme zafiyetleri ve multi-step transaction saldırıları OWASP Top 10’un dışında ancak kritik öneme sahiptir. Bu alanlara özel senaryolar hazırlayarak test kapsamına dahil ediyoruz.
4. Test Aşamaları: Adım Adım Süreç
Aşama 1: Kapsam Belirleme ve Anlaşma
Test başlamadan hangi uygulamaların, URL’lerin, kullanıcı rollerinin kapsama alınacağı yazılı olarak netleştirilir. Bu aşamada NDA imzalanır, test zaman penceresi belirlenir.
Aşama 2: Keşif (Reconnaissance)
Uygulamanın mimarisi, teknoloji yığını, giriş noktaları, API endpoint’leri ve üçüncü taraf entegrasyonları haritalanır. Pasif (Google dork, Shodan) ve aktif (spider, crawler) yöntemler kullanılır.
Aşama 3: Otomatik Tarama
Burp Suite Pro, OWASP ZAP gibi araçlarla bilinen zafiyetler için ön tarama yapılır. Bu aşama manuel testin temelini oluşturur; tek başına yeterli değildir.
Aşama 4: Manuel Sızma Testi
Testin en kritik aşamasıdır. Uzman saldırgan bakış açısıyla iş mantığı zafiyetleri, ayrıcalık yükseltme, kimlik doğrulama bypass ve injection senaryoları test edilir.
Aşama 5: Raporlama
Her zafiyet için CVSS v3.1 skoru, risk seviyesi (Kritik/Yüksek/Orta/Düşük), PoC (Proof of Concept) ve çözüm önerisi raporlanır. Yönetici özeti ve teknik rapor ayrı bölümler olarak teslim edilir.
Aşama 6: Re-test (Ücretsiz)
Bulgular kapatıldıktan sonra doğrulama testi ücretsiz gerçekleştirilir. Kapatma onayı yazılı raporla teyit edilir.
5. En Sık Bulunan Zafiyetler: Saha Gözlemleri
Sparta’nın gerçek projelerinden anonimleştirilmiş veriler. Son 2 yıldaki web uygulama testlerinde en sık karşılaştığımız zafiyetler:
Zafiyet | Sıklık | Risk Seviyesi | En Yaygın Sektör |
IDOR (Yetkisiz Nesne Erişimi) | %71 | Yüksek–Kritik | Finans, Sağlık, E-ticaret |
Broken Authentication | %58 | Kritik | Tüm sektörler |
SQL Injection | %44 | Kritik | Kamu, E-ticaret |
Business Logic Hataları | %67 | Yüksek | Finans, SaaS |
XSS (Cross-Site Scripting) | %52 | Orta–Yüksek | Portal, CMS |
Güvensiz API Endpoint’leri | %63 | Yüksek | Mobil backend, SaaS |
Yanlış CORS Konfigürasyonu | %41 | Orta | API ağırlıklı uygulamalar |
Not: İş mantığı zafiyetleri (Business Logic), tüm otomatik tarama araçlarının kaçırdığı ve yalnızca uzman manuel testiyle tespit edilebildiği kategorinin başında gelmektedir. Bu zafiyetler teknik açıdan basit görünse de iş etkisi çoğunlukla kritiktir.
6. Web Uygulama Sızma Testi ve Zafiyet Taraması: Temel Farklar
Kriter | Zafiyet Taraması | Sızma Testi |
Yöntem | Otomatik araç tabanlı | Uzman manuel + araç |
Derinlik | Yüzeysel — bilinen imzalar | Derin — özel saldırı senaryoları |
İş mantığı testi | Hayır | Evet |
PoC (Kanıt) | Yok veya sınırlı | Her bulgu için PoC |
Süre | Saatler | Günler |
Risk değerlendirmesi | CVSS otomatik | İş etkisiyle bağlantılı |
Uyumluluk için | Kısmen (bazı standartlar için yetersiz) | Evet (ISO 27001, PCI DSS, KVKK) |
7. Sızma Testi Raporunu Nasıl Okumalısınız?
İyi bir web uygulama sızma testi raporu iki farklı kitleye hitap eder:
Yönetici Özeti (CISO ve Üst Yönetim İçin)
- Tespit edilen toplam zafiyet sayısı ve dağılımı (Kritik / Yüksek / Orta / Düşük)
- En yüksek riskli 3-5 bulgu ve iş etkisi özeti
- Acil aksiyon önerileri ve önceliklendirme
- Önceki testle karşılaştırma (varsa)
Teknik Rapor (Geliştirici ve Güvenlik Ekibi İçin)
- Her zafiyet için: CVSS v3.1 skoru, vektör, etki analizi
- PoC (Proof of Concept): Zafiyetin nasıl istismar edilebildiğini gösteren adımlar
- Etkilenen endpoint, parametre ve kullanıcı rolleri
- Çözüm önerisi: Kod örneği veya konfigürasyon değişikliği
- Re-test durumu ve kapanış onayı
Sparta rapor örneği: Gerçek biçimine en yakın, gizli bilgiler maskelenmiş örnek raporu görmek için iletişim sayfamızı ziyaret edin.
8. Web Uygulama Sızma Testi Ne Sıklıkta Yaptırılmalı?
Durum | Önerilen Sıklık |
Standart kurumsal uygulama | Yılda 1 kez |
Yoğun geliştirme yapılan uygulama | Her major release’te |
Finans / sağlık sektörü | Yılda 2 kez (regülasyon gereği) |
KVKK / ISO 27001 uyumluluk | Yılda en az 1 kez |
E-ticaret / yüksek riskli uygulama | 6 ayda 1 kez |
Canlıya almadan önce | Her yeni uygulama için zorunlu |
9. Sonuç
Web uygulama sızma testi, siber güvenlik bütçenizin en yüksek ROI’yi getiren yatırımlarından biridir. Bir veri ihlalinin ortalama maliyeti 4.9 milyon dolar iken, kapsamlı bir sızma testinin maliyeti bu rakamın çok küçük bir kesirine karşılık gelir.
Önemli olan şu: Otomatik araçlar tek başına yeterli değildir. Business logic zafiyetleri, IDOR hataları ve özel saldırı senaryoları yalnızca uzman manuel testle ortaya çıkar. TSE A Sınıfı yetkinliğimizle 1000+ projedeki deneyimimizi her müşterimize aktarıyoruz.
İlgili İçerikler
- Web Uygulama Sızma Testi Hizmeti — Sparta’nın hizmet sayfası
- Sızma Testi Nedir? Penetrasyon Testinin Rehberi — Genel sızma testi rehberi
- ISO 27001 Sızma Testi Zorunluluğu — Regülasyon rehberi
- Sızma Testi ile Zafiyet Taraması Arasındaki Fark — Karşılaştırmalı analiz
Web uygulamanızdaki zafiyetleri saldırganlardan önce keşfetmeye hazır mısınız? |