Sızma Testi, Penetrasyon Testi ile güvenlik açıkları, tasarım zayıflıkları ve riskler ortaya çıkarılarak kurumun tüm bilgi kaynakları güvenceye alınır. İşinizin devamlılığını etkileyebilecek saldırılara karşı hazırlıklı olursunuz.
Sızma Testi (Pentest) Hizmeti | TSE A Sınıfı ve CREST Onaylı
Siber Güvenlik Yasası kapsamında, başta kritik altyapılar olmak üzere kuruluşların varlıklarının korunması ve siber saldırıların önlenmesine yönelik çalışmaları planlı ve etkin bir şekilde yürütüyoruz. Sektörel Bilgi Sistemleri Sızma Testi için bizimle temasa geçin.
Sızma/ Penetrasyon Testi
- External Testing (Dış Ağ Testleri)
- Internal Testing (İç Ağ Testleri)
- Black Box Testing (Kara Kutu Testi)
- White Box Testing (Beyaz Kutu Testi)
- Gray Box Testing (Gri Kutu Testi)
Kapsam Belirleme Formu
Pentest Standartları Neler?
Sızma Testi konusunda uzman olan her firma uzun yıllar içinde kendi metodolojilerini ve zafiyet veritabanını oluşturur. Nesil sızma metodolojileri ile ilgili özet sunumları yukarıdaki video kayıtlarında bulabilirsiniz. Bununla birlikte pentest alanında genel kabul görmüş metodolojileri, zafiyet veritabanlarını, açıklık derecelendirme rehberleri ve en iyi uygulamaları da dikkate alırız. Bunlar arasında aşağıdakiler sayılabilir:
- TSE TS 13638/T2 Onaylı Sızma Testi Firması (Sertifika No: TSE-STF-065)
- T.C. Sanayi ve Teknoloji Bakanlığı Sızma Testi Yetki Belgesi (STB03-250)
- T.C. Sanayi ve Teknoloji Bakanlığı Kamu Bilişim Yetki Belgesi (STB01-3242)
- TS13638 (Bilgi Teknolojileri)
- CREST Penetration Testing Guide
- NIST (Cybersecurity Framework) ve NIST SP 800-115 — Teknik Güvenlik Test ve Değerlendirme Rehberi
- PTES (Penetration Testing Execution Standard)
- OWASP Top 10:2021 ve OWASP Web Security Testing Guide (WSTG) v4.2
Ekip Olarak Yasal Regülasyonlarla Hazırız!
Türkiye’de penetrasyon testlerinin yapılması zorunlu hale getiren bazı yasal düzenlemeler ve regülasyonlar bulunmaktadır. Bu düzenlemeler, özellikle veri güvenliği ve siber güvenlikle ilgili alanlarda faaliyet gösteren kuruluşları hedef alır. Türkiye’deki bazı önemli regülasyonlar şunlardır:
- Bilgi Teknolojileri ve İletişim Kurumu – SOME ve ISO 27001 gereksinimleri
- PCI DSS v4.0.1 Madde 11.4 — kart işleme ortamlarında 6 ayda 1 ve kapsam değişikliği sonrası sızma testi zorunluluğu
- Elektronik Ticarette Güven Damgası Hakkında Tebliğ
- BDDK Bankacılık Düzenleme ve Denetleme Kurumu — Bilgi Sistemleri Yönetimi Tebliği uyarınca yıllık sızma testi zorunluluğu
- SPK (Sermaye Piyasası Kurulu) Regülasyonları
- KVKK Veri Güvenliğine İlişkin Yükümlülük
- 7545 Sayılı Siber Güvenlik Yasası
Penetrasyon Testinden Ne Elde Ediyorsunuz?
Uygulama güvenliğinizin ne kadar sağlam olduğunu müşterilerinize göstermek için penetrasyon testi raporlarını kullanın. Bu raporlar, sistemlerinizin potansiyel zayıf noktalarını tespit eder ve güvenlik açıklarını giderdiğinizi kanıtlar. Müşterilerinize sunduğunuz hizmetin güvenilirliğini böylece somut verilerle destekleyebilirsiniz.
Örnek sızma testi raporlarımızı incelemek için aşağıdaki bağlantıyı ziyaret edebilirsiniz.
🔗 Örnek Raporları GörüntüleReferans Mektupları
Genel olarak müşterileriniz, sızma testi hizmetlerinde yüksek profesyonellik, teknik uzmanlık ve çözüm odaklı yaklaşımını vurguluyor. Güvenlik açıklarını net bir şekilde tespit edip, uygulanabilir öneriler sunmanızdan memnun olduklarını ifade ediyorlar. Özellikle güvenilir ve sonuç odaklı bir iş ortağı olarak sizi tavsiye ediyorlar
A. Rıza Çanakcı
İş Bankası İştiraki olan İşmer olarak güvenlik altyapımızı güçlendirmek ve olası tehditlere karşı proaktif bir yaklaşım benimsemek amacıyla Nesil Teknoloji ile sızma testi çalışmaları gerçekleştirdik. Bu süreçte, Nesil Teknoloji’nin profesyonel yaklaşımı, ayrıntılı analizleri ve teknik bilgi birikimi beklentilerimizi fazlasıyla karşıladı. Güvenlik açılarımızı kapsamlı bir şekilde değerlendirip çözüm odaklı öneriler sunarak bilgi güvenliğimizi üst düzeye taşımamıza…
Sedat CAN – BT Ekibi
Cengiz Holding Eti Bakır Tesisi, güvenlik ihtiyaçlarımız doğrultusunda Nesil ile bir sızma testi projesi yürüttü. Bu süreçte profesyonel ve titiz bir çalışma ile karşılaştık. Ekip, hem teknik bilgi düzeyi hem de zamanında teslim konusunda beklentilerimizi fazlasıyla karşıladı.Nesil, sızma testi sürecinde bize mevcut güvenlik açıklarını detaylı şekilde raporlayarak, bu açıkların giderilmesine yönelik önerilerde bulundu. Ayrıca, projenin…
Gökhan Yağmur – BT Şef
Nesil ile gerçekleştirdiğimiz sızma testi hizmetinden son derece memnun kaldık. Ekip, süreç boyunca hem teknik bilgi birikimi hem de çözüm odaklı yaklaşımlarıyla bize güven verdi. Güvenlik açıklarımızı hızlı ve net bir şekilde tespit ettiler ve önerileriyle sistemimizi daha da güçlendirmemize yardımcı oldular. — Gökhan Yağmur, Türkiye Petrolleri
Tanju Demir – BT Müdürü
Şirketimiz Honda Terakki, siber güvenlik stratejilerimizin güçlendirilmesi amacıyla Nesil ile sızma testi hizmeti konusunda iş birliği yapmıştır. Bu süreçte, NESİL profesyonel yetkinliği, teknik uzmanlığı ve titiz çalışma disiplini ile şirketimizin beklentilerini karşılamış ve üst düzey hizmet sunmuştur.Sızma testi faaliyetleri kapsamında, bilgi sistemlerimizde mevcut olabilecek güvenlik açıkları başarıyla tespit edilmiş, bu açıkların giderilmesi yönünde kapsamlı ve…
Sertifikasyon Yetkinliklerimiz
CEH, OSCP, CompTIA Security+, CISSP, CISA, GPEN, LPT ile TSE Kıdemli/Sertifikalı/Kayıtlı Sızma Testi Uzmanı sertifikasyonlarına sahip uzman kadromuzla, 1.500'ü aşkın kurumsal müşteriye sızma testi ve siber güvenlik hizmetlerini ulusal ve uluslararası standartlarda sunmaktayız.
Sertifikaları Bakın
Siber Güvenlik Ekibi – Uygar Aydın ile Online Toplantı
Bilgi Sistemleri Sızma Testleri kapsamını birlikte netleştirelim. 30 dakikalık çevrimiçi görüşmede,
Tebliğ’e uyumlu kapsam, test takvimi ve teslim süreçlerini belirleyip teklifimizi paylaşalım.
- Ön keşif & kapsam doğrulama (kurumunuza özel)
- Tebliğ uyumlu bildirim ve raporlama planı
- Hızlı tekliflendirme ve başlangıç tarihi
Formu doldurup [email protected] adresine iletebilirsiniz.
Sızma Testi ve Penetrasyon Testi Hizmeti
Sızma testi, diğer adıyla penetrasyon testi veya pentest, kurumların sistem, ağ, web uygulaması, mobil uygulama ve bulut altyapılarındaki güvenlik açıklarını kötü niyetli kişilerden önce tespit etmek için yapılan kontrollü güvenlik testidir. Sızma testi hizmeti; bu açıkların doğrulanması, risk seviyelerinin belirlenmesi, raporlanması ve iyileştirme önerileriyle birlikte sunulan profesyonel güvenlik değerlendirme sürecidir. Mayıs 2026 itibarıyla geçerli mevzuat, TSE TS 13638/T2 metodolojisi ve OWASP Top 10:2021 standartları ile uyumludur.
Nesil Teknoloji olarak sunduğumuz sızma testi ve penetrasyon testi hizmeti; web uygulamaları, mobil uygulamalar, API servisleri, iç ağ, dış ağ ve bulut sistemlerinde güvenlik seviyesini görünür hale getirmeye odaklanır. Bu hizmet, yalnızca teknik açık tespiti değil; aynı zamanda risk önceliklendirmesi, raporlama ve aksiyona dönük güvenlik çıktısı üretmeyi amaçlar.
Devamını Gör
Özet
Bu sayfa; hem sızma testi ve penetrasyon testi gibi bilgilendirici aramaları, hem de sızma testi hizmeti, sızma testi firması, pentest hizmeti, sızma testi fiyatları ve pentest raporu gibi işlemsel aramaları karşılamak için hazırlanmıştır.
Sızma Testi Nedir?
Sızma testi, bir bilgi sisteminin, uygulamanın veya ağın güvenlik kontrollerini kontrollü saldırı senaryoları ile sınamak amacıyla yapılan güvenlik değerlendirmesidir. İngilizce kullanımda bu hizmet çoğunlukla penetration test veya pentest olarak adlandırılır.
Sızma testi ile zafiyet taraması aynı şey değildir. Zafiyet taraması çoğu zaman olası açıklıkları listeler. Sızma testi ise bu açıklıkların gerçekten kullanılabilir olup olmadığını doğrular, iş etkisini değerlendirir ve öncelikli riskleri ortaya çıkarır.
Sızma testi ne işe yarar?
- Kritik güvenlik açıklarını görünür hale getirir
- Açıkların gerçekten sömürülebilir olup olmadığını gösterir
- İş etkisi yüksek riskleri önceliklendirir
- Teknik ekipler için aksiyon planı oluşturur
- Yönetim için karar destek çıktısı üretir
- Güvenlik yatırımlarının etkinliğini ölçer
Sızma testi ne demek?
Basit anlatımla sızma testi; bir saldırganın sisteme nasıl yaklaşabileceğini kurumdan önce, kontrollü ve yetkili şekilde görmek anlamına gelir. Amaç zarar vermek değil; güvenlik seviyesini ölçmek, zayıf noktaları tespit etmek ve iyileştirme önceliği oluşturmaktır.
Penetrasyon Testi Nedir?
Penetrasyon testi, sızma testinin daha teknik ve kurumsal kullanılan adıdır. Türkiye’de bazı kullanıcılar “sızma testi”, bazıları “penetrasyon testi”, daha teknik tarafta çalışan ekipler ise “pentest” ifadesini kullanır. Uygulamada bu kavramlar çoğunlukla aynı hizmeti ifade eder.
Pentest nedir?
Pentest, penetration test ifadesinin kısaltılmış kullanım şeklidir. Teknik ekipler, yazılım firmaları ve güvenlik profesyonelleri tarafından yaygın biçimde kullanılır.
Penetrasyon testi ile sızma testi aynı mı?
Çoğu kullanımda evet. Ancak “penetrasyon testi” ifadesi daha teknik, “sızma testi” ise daha geniş ve Türkçe kullanım karşılığı olarak öne çıkar. SEO açısından bu iki kelimenin aynı sayfada dengeli ve doğal biçimde yer alması önemlidir.
Sızma Testi Hizmeti Neleri Kapsar?
Her kurum için aynı kapsam geçerli değildir. Doğru sızma testi hizmeti, kurumun teknoloji mimarisine, dışa açık yüzeyine, veri yoğunluğuna, kullanıcı yapısına ve risk profiline göre şekillendirilir.
Genel olarak sızma testi hizmeti şu alanları kapsayabilir:
- Web uygulama sızma testi
- Mobil uygulama sızma testi
- İç ağ sızma testi
- Dış ağ sızma testi
- API sızma testi
- Bulut sızma testi
- Kablosuz ağ güvenliği testleri
- Sosyal mühendislik senaryoları
Kurumsal sızma testi hizmetinde hangi çıktılar sunulur?
- Test kapsamı özeti
- Metodoloji özeti
- Doğrulanmış bulgu listesi
- Risk seviyeleri
- İş etkisi değerlendirmesi
- Teknik açıklamalar
- Çözüm önerileri
- Gerekiyorsa yeniden doğrulama sonucu
Sızma Testi Türleri Nelerdir?
Sızma testi türleri, test ekibine verilen bilgi düzeyine ve hedeflenen senaryoya göre değişir.
Black Box Sızma Testi
Test ekibine hedef hakkında minimum bilgi verilir. Amaç, dış saldırgan davranışını olabildiğince gerçekçi biçimde simüle etmektir.
Gray Box Sızma Testi
Test ekibine sınırlı seviyede kullanıcı veya mimari bilgisi sağlanır. Çoğu kurumsal projede kapsam ve verimlilik dengesi açısından en çok tercih edilen modeldir.
White Box Sızma Testi
Test ekibine daha fazla teknik bilgi, mimari detay veya kullanıcı erişimi verilir. Daha derin analiz gerektiren senaryolarda tercih edilir.
Penetrasyon testi seviyeleri nelerdir?
Kullanıcıların “penetrasyon testi seviyeleri” diye aradığı konu çoğu zaman bu üç test modeline karşılık gelir. Bazı projelerde uygulama seviyesi, ağ seviyesi veya kapsam derinliği bazlı ek sınıflandırmalar da yapılabilir.
Pentest Hizmeti ile Test Edilen Sistemler
Web Uygulama Sızma Testi
Kurumsal internet siteleri, müşteri portalları, yönetim panelleri, e-ticaret platformları ve özel yazılım arayüzleri bu kapsamda test edilir. Özellikle kimlik doğrulama, yetkilendirme, oturum yönetimi, veri ifşası, girdi doğrulama ve iş mantığı açıkları bu testlerin merkezindedir.
Mobil Uygulama Sızma Testi
iOS ve Android uygulamalar; cihaz üzerindeki veri saklama yapısı, token yönetimi, API haberleşmesi, sertifika kontrolleri ve uygulama mantığı açısından değerlendirilir.
İç Ağ Sızma Testi
İç ağ sızma testi, kurum içinde belirli seviyede erişim elde etmiş bir saldırganın ne kadar ileri gidebileceğini ölçer. Yetki yükseltme, kimlik yönetimi ve segmentasyon eksikleri bu alanın kritik parçalarıdır.
Dış Ağ Sızma Testi
Dış ağ sızma testi, internete açık sistemlerin saldırgan gözünden değerlendirilmesidir. Açık servisler, yanlış yapılandırmalar, bilgi sızıntısı ve görünmeyen saldırı yüzeyi bu testin önemli parçalarıdır.
API ve Mikroservis Sızma Testi
REST ve GraphQL servislerinde yetkilendirme, nesne erişimi, veri ifşası, iş mantığı açıklıkları ve rate limit eksiklikleri değerlendirilir.
Bulut Sızma Testi
Bulut ortamlarında erişim izinleri, yanlış yapılandırmalar, açık depolama alanları, servis bağlantıları ve kimlik yönetimi incelenir.
TSE Onaylı Sızma Testi Metodolojisi ve Kurumsal Test Yaklaşımı
Kurumsal bir sızma testi çalışmasının değer üretmesi için metodolojisinin net olması gerekir. Rastgele ilerleyen veya yalnızca araç çıktısına dayanan testler, kurum için yeterli karar desteği oluşturmaz.
Sağlıklı bir sızma testi metodolojisi genel olarak şu adımlardan oluşur:
- Kapsam Belirleme: Test edilecek sistemler, alanlar, kullanıcı seviyeleri ve sınırlar netleştirilir.
- Bilgi Toplama: Hedef sistemler hakkında pasif ve aktif veri toplanır.
- Zafiyet Analizi: Potansiyel açıklıklar analiz edilir, yanlış pozitifler ayıklanır.
- Kontrollü Doğrulama: Açıkların gerçekten kullanılabilir olup olmadığı test edilir.
- Etki Değerlendirmesi: Teknik bulguların iş etkisi belirlenir.
- Raporlama: Teknik ve yönetsel rapor hazırlanır.
- Doğrulama Testi: Gerekirse açıkların kapatılıp kapatılmadığı tekrar kontrol edilir.
Zafiyet Taraması ile Sızma Testi Arasındaki Fark
Bu iki kavram çok sık karıştırılır. Oysa sızma testi ile zafiyet taraması aynı şey değildir.
| Kriter | Zafiyet Taraması | Sızma Testi |
|---|---|---|
| Yöntem | Çoğunlukla otomatik | Uzman destekli ve kontrollü |
| Çıktı | Olası açık listesi | Doğrulanmış bulgular |
| Derinlik | Orta | Yüksek |
| İş Etkisi | Sınırlı | Güçlü |
| Raporlama | Teknik çıktı | Teknik + yönetsel çıktı |
İdeal yaklaşım, zafiyet taraması ile sızma testini birbirini tamamlayan iki yöntem olarak kullanmaktır.
Pentest Raporu ve Sızma Testi Raporu
Bir sızma testi hizmetinin en kritik çıktılarından biri rapordur. Çünkü kurum için değer yalnızca açık bulunmasıyla değil; o açığın etkisinin, önceliğinin ve nasıl giderileceğinin anlaşılmasıyla oluşur.
Pentest raporu nedir?
Pentest raporu, test edilen sistemleri, kullanılan yaklaşımı, doğrulanan bulguları, risk seviyelerini ve çözüm önerilerini içeren teknik güvenlik çıktısıdır.
Sızma testi raporu içinde neler olur?
- Yönetici özeti
- Kapsam bilgisi
- Test yaklaşımı
- Bulgu listesi
- Risk derecelendirmesi
- Teknik açıklamalar
- Çözüm önerileri
- Yeniden doğrulama bilgisi
Örnek sızma testi raporu neden önemlidir?
Kurumlar çoğu zaman yalnızca hizmet almak istemez; aynı zamanda rapor kalitesini de görmek ister. Bu nedenle “örnek sızma testi raporu” sorgusu doğrudan satın alma niyetine yakın bir davranıştır.
Sızma Testi Fiyatları ve Pentest Teklif Süreci
Sızma testi fiyatları sabit bir etikete bağlanamaz. Çünkü fiyatı belirleyen şey yalnızca testin adı değil, kapsamıdır.
Sızma testi fiyatları neye göre belirlenir?
- Test edilecek sistem sayısı
- Web, mobil, ağ, API veya bulut ayrımı
- Test derinliği
- Kullanıcı veya yetki seviyesi
- Raporlama kapsamı
- Yeniden test ihtiyacı
- Proje süresi
Penetrasyon testi fiyatı neden değişir?
Tek bir web uygulamasının testi ile çok katmanlı bir web + mobil + API + ağ yapısının testi aynı kapsamda değildir. Bu yüzden penetrasyon testi fiyatı proje bazında değişir.
Pentest teklif süreci nasıl işler?
- Kapsam ön görüşmesi yapılır
- Test edilecek alanlar netleştirilir
- Teknik ihtiyaç ve öncelikler belirlenir
- Zaman planı ve teklif hazırlanır
Sızma Testi Yapan Firmalar Arasında Doğru Seçim
Kullanıcıların “sızma testi yapan firmalar”, “penetrasyon testi yapan firmalar”, “sızma testi firması” ve “pentest firmaları” gibi sorgular yapması, doğrudan satın alma niyetini gösterir. Bu noktada firma seçimi, fiyat kadar kalite ve metodoloji açısından da değerlendirilmelidir.
Sızma testi firması seçerken nelere dikkat edilir?
- Kapsam belirleme yaklaşımı
- Test metodolojisinin açıklığı
- Raporlama kalitesi
- Teknik ekip deneyimi
- İletişim ve proje yönetimi disiplini
- Doğrulama testi yaklaşımı
Penetrasyon testi yapan firmalar nasıl değerlendirilir?
Bir firmanın yalnızca test yaptığı değil; aynı zamanda anlamlı rapor, teknik aksiyon ve kuruma uygun çıktı üretip üretmediği değerlendirilmelidir.
Sızma Testi Hangi Kurumlar İçin Gereklidir?
Sızma testi birçok kurum için faydalıdır; ancak bazı yapılar için çok daha kritik hale gelir:
- E-ticaret şirketleri
- Yazılım ve SaaS firmaları
- Veri yoğun çalışan kurumlar
- Finansal işlem yürüten şirketler
- Müşteri portalı veya yönetim paneli kullanan yapılar
- Web, mobil veya API tabanlı ürün geliştiren ekipler
Sık Sorulan Sorular
Sızma testi nedir?
Sızma testi, sistemlerdeki güvenlik açıklarını kötü niyetli kişilerden önce tespit etmek için yapılan kontrollü güvenlik testidir.
Penetrasyon testi nedir?
Penetrasyon testi, sızma testinin daha teknik kullanılan adıdır. Çoğu durumda aynı hizmeti ifade eder.
Pentest nedir?
Pentest, penetration test ifadesinin kısa kullanım şeklidir.
Sızma testi ne demek?
Sızma testi, bir saldırganın sistemlere nasıl yaklaşabileceğini önceden kontrollü biçimde görmek anlamına gelir.
Sızma testi hizmeti neyi kapsar?
Web, mobil, ağ, API, bulut ve erişim yapılarındaki güvenlik kontrollerinin test edilmesini kapsayabilir.
Sızma testi fiyatları ne kadar?
Fiyat, sistem sayısı, kapsam, raporlama derinliği ve yeniden test ihtiyacına göre değişir.
Pentest raporu nedir?
Pentest raporu, doğrulanan bulguları, risk seviyelerini ve çözüm önerilerini içeren güvenlik raporudur.
Sızma testi hangi sistemlerde uygulanır?
Web uygulamaları, mobil uygulamalar, ağ sistemleri, API servisleri, bulut ortamları ve bazı kablosuz ağ yapılarında uygulanabilir.
Sızma testi ne sıklıkla yapılmalıdır?
Genellikle yılda en az bir kez ve büyük sistem değişikliklerinden sonra tekrar edilmesi önerilir.
Sonuç
Sızma testi, penetrasyon testi ve pentest, kurumların dijital altyapılarındaki güvenlik seviyesini gerçekçi biçimde değerlendirmek için kullanılan profesyonel güvenlik hizmetleridir. Doğru kapsamla yürütülen, metodolojisi güçlü, raporlaması net ve aksiyon üretme kapasitesi olan bir sızma testi hizmeti; kurumun teknik ve yönetsel güvenlik görünürlüğünü güçlendirir.
Eğer hedef; hem broad bilgi arayan kullanıcıları hem de doğrudan hizmet arayan kurumları aynı sayfada buluşturmaksa, bu yapı doğru temel oluşturur. Sızma testi, penetrasyon testi, sızma testi hizmeti, sızma testi firması, pentest firmaları, sızma testi fiyatları ve pentest raporu gibi sorgularda görünürlük kazanmak için içerik, kapsam ve hizmet yaklaşımının birlikte düşünülmesi gerekir.