Web Uygulaması Testi: Yayına Güvenle Çıkmanın Yol Haritası
Kritik verilerin işlendiği web uygulamalarında güvenlik açıklarını ve işlevsel hataları yayına almadan önce keşfedin; riskleri azaltın, uyumu güçlendirin.
1) Web Uygulaması Testi Nedir?
Web uygulaması testi; web tabanlı sistemlerin güvenlik açıkları ve işlevsel hatalar açısından teknik ve mantıksal seviyede değerlendirilmesidir. Test, geliştiricilerin yanı sıra siber güvenlik uzmanları ve penetrasyon testçileri tarafından da yürütülür.
2) Neden Yapılır?
- Müşteri bilgilerinin çalınması, hizmet kesintisi (DoS/DDoS) ve maddi/itibari zarar riskini azaltmak
- KVKK/GDPR gibi regülasyonlara uyum sağlamak
- Yayına almadan önce ve düzenli aralıklarla riskleri proaktif yakalamak
3) Test Süreci: Temel Adımlar
3.1 Bilgi Toplama (Information Gathering)
Hedef domain/IP, açık port/servisler, kullanılan teknolojiler (Apache/Nginx, PHP, MySQL…), giriş noktaları (login, API) pasif ve aktif yöntemlerle tespit edilir.
3.2 Yüzey Analizi & Haritalama (Mapping)
Sayfalar, formlar, parametreler ve URL yapısı çıkarılır; yönlendirmeler ve akışlar analiz edilir. Burp Suite, OWASP ZAP, Fiddler gibi proxy araçları kullanılır.
3.3 Açık Tarama (Vulnerability Scanning)
Otomatik tarayıcılarla yaygın açıklar araştırılır: SQLi, XSS, CSRF, açık dizin vb. Örnek araçlar: ZAP, Nikto, Acunetix, Netsparker, Wapiti.
3.4 Manuel Testler
Otomatik araçların kaçırabileceği mantıksal kusurlar, iş akışı hataları, kimlik doğrulama atlatmaları ve veri doğrulama zayıflıkları manuel analizle ortaya çıkarılır (örn. şifre sıfırlama token manipülasyonu).
3.5 Kimlik Doğrulama & Yetkilendirme Testleri
Farklı rollerin sınırları test edilir: başka kullanıcı verisine erişim, admin panel izolasyonu, oturum süresi/çerez güvenliği. IDOR gibi kusurlar bu aşamada saptanır.
3.6 Veri Girişi & Validasyon
Form girdilerinde server-side doğrulama, input sanitizasyonu/encoding, hatalı/boş veri yönetimi değerlendirilir.
3.7 Performans & Yük Testleri
Sunucu yanıt süresi, sayfa yükleme ve yüksek trafik davranışı ölçülür.
3.8 İşlevsellik Testleri
Doğru yönlendirme, anlamlı hata mesajları ve arayüz tutarlılığı kontrol edilir.
3.9 Raporlama
Her açık için teknik açıklama, istismar yöntemi/POC, risk seviyesi, önerilen çözüm ve ekran görüntüleriyle hem teknik hem yönetim özetleri hazırlanır.
4) Kullanılan Araçlar
Otomasyon zaman kazandırır; ancak her zaman manuel doğrulama ve bağlamlı analizle desteklenmelidir.
5) Düzeltme, Re-Test ve Periyodiklik
- Düzeltme (Remediation): Geliştirici ekip öneriler doğrultusunda yama/konfigürasyon yapar.
- Re-Test: Kapatılan açıkların doğrulanması, yeniden açılmadığının kontrolü.
- Periyodik plan: Yeni özellikler, güncellemeler ve 3. parti entegrasyonlarla birlikte düzenli test.
6) KVKK ve Web Güvenliği
6698 sayılı KVKK kapsamında kişisel veri işleyen kurumlar veri güvenliğini sağlamak, sızıntıda sorumluluk taşımak ve düzenli zafiyet değerlendirmeleri yapmakla yükümlüdür. Bu nedenle testler yalnızca teknik bir iyi uygulama değil, aynı zamanda yasal zorunluluk niteliğindedir.
7) En Sık Görülen Zafiyetler
- SQL Injection (SQLi)
- Cross-Site Scripting (XSS)
- Broken Authentication & Session Management
- Insecure Direct Object References (IDOR)
- Command Injection
- Server-Side Request Forgery (SSRF)
- Cross-Site Request Forgery (CSRF)
Çoğu açık OWASP Top 10 kapsamında değerlendirilir ve testlerde önceliklendirilmelidir.
8) Kimler Test Yapmalı?
Pentest uzmanları, siber güvenlik analistleri ve konuya hâkim sertifikalı ekipler (ör. OSCP/CEH) testleri yürütmelidir. Metodoloji, hem teknik yetkinlik hem de süreç bilgisi gerektirir.
9) Sık Sorulan Sorular
Testleri ne sıklıkla yapmalıyız?
En az yılda bir; ayrıca büyük sürüm/güncelleme, kritik entegrasyon veya olay müdahalesi sonrası.
Otomatik tarama yeterli mi?
Hayır. Otomasyon bir başlangıçtır; manuel doğrulama ve mantıksal testler şarttır.
DoS/DDoS testleri bu kapsama girer mi?
Genellikle ayrı bir performans/direnç testi kapsamıdır; yazılı izin ve ayrı planlama gerektirir.
Not: Bu içerik genel bilgilendirme amaçlıdır; kurumunuza özel test stratejisi için kapsam, izin ve değişiklik yönetimi süreçleriyle birlikte ele alınmalıdır.

