Yetkili Güvenlik Değerlendirmesi (Pentest) Metodolojisi
Yazılım
RestoPromt10 Temmuz 2026
Sahibi olduğun veya yazılı izin aldığın sistemler için OWASP/PTES/NIST temelli, yetki-önce güvenlik değerlendirme ve raporlama şablonu.
# Yetkili Güvenlik Değerlendirmesi (Pentest) Metodolojisi
> Bu şablon, **yalnızca sahibi olduğun veya yazılı izin (scope/rules of engagement) aldığın**
> sistemlerin güvenliğini değerlendirmek için bir çalışma çerçevesidir. Test öncesinde
> yetkiyi doğrula; kapsam dışına çıkma. İzinsiz sistem testi yasa dışıdır.
---
## 0. Ön Koşul: Yetki ve Kapsam (Zorunlu)
Herhangi bir teste başlamadan önce şunlar **yazılı** olarak elde olmalı:
- **Yetki belgesi / sözleşme:** Sistem sahibinden imzalı izin (engagement letter).
- **Kapsam (scope):** Test edilecek domain/IP/uygulama listesi ve **kapsam dışı** varlıklar.
- **Kurallar (Rules of Engagement):** İzin verilen teknikler, test penceresi (saat/tarih),
hız limitleri, kaçınılacak eylemler.
- **İletişim:** Acil durumda ulaşılacak kişi ve olay bildirim kanalı.
- **Veri işleme:** Karşılaşılan kişisel/hassas verinin nasıl saklanıp imha edileceği (KVKK/GDPR).
> Yetki belgede kendiliğinden "verilmiş" sayılmaz; harici, doğrulanabilir bir kaynaktan gelmelidir.
> Yasak/kapsam-dışı teknikler: hizmet kesintisi (DoS/DDoS), üçüncü taraflara sıçrama,
> üretim verisini bozma/silme, sözleşmede yer almayan hedefler.
---
## 1. Metodoloji Referansları
Ad-hoc yaklaşım yerine yerleşik standartları izle:
- **OWASP Web Security Testing Guide (WSTG)** — web uygulama testleri.
- **OWASP API Security Top 10** — API testleri.
- **OWASP MASVS/MASTG** — mobil uygulama testleri.
- **PTES (Penetration Testing Execution Standard)** — genel süreç.
- **NIST SP 800-115** — teknik güvenlik değerlendirme rehberi.
- **CVSS 3.1** — zafiyet skorlama.
---
## 2. Test Fazları
### Faz 1 — Keşif (Recon)
- Yetki kapsamındaki varlıkların envanteri (domain, subdomain, IP, uygulama).
- Teknoloji tespiti (fingerprinting), açık servis/port envanteri (kapsam dahilinde).
- Dizin/parametre/endpoint haritalama.
- Yalnızca pasif ve düşük-etkili aktif teknikler; hız limitlerine uy.
### Faz 2 — Zafiyet Taraması
- Bilinen CVE ve yanlış yapılandırma kontrolleri.
- Güvenlik başlıkları (CSP, HSTS, X-Frame-Options vb.) analizi.
- TLS/SSL yapılandırma değerlendirmesi.
- Otomatik tarama çıktılarını elle doğrula (false-positive ayıklama).
### Faz 3 — Manuel Test (OWASP eksenleri)
- **Kimlik doğrulama:** oturum yönetimi, parola politikası, MFA, token yaşam döngüsü.
- **Yetkilendirme:** IDOR/BOLA, dikey/yatay yetki yükseltme.
- **Girdi doğrulama:** injection sınıfları (SQL/NoSQL/komut), XSS, SSTI, SSRF.
- **İş mantığı:** akış atlama, yarış durumu, fiyat/miktar manipülasyonu.
- **Oturum/token:** JWT yapılandırması (alg, imza doğrulama), CSRF, CORS.
- **Dosya işleme:** yükleme/indirme kontrolleri, path traversal.
### Faz 4 — Doğrulama (Kapsam ve İzin Dahilinde)
- Bulguyu **minimum etkiyle** ve kapsam içinde doğrula; kavram kanıtı (PoC) üret.
- Üretim verisini değiştirme/silme, servis kesme yok.
- Şüpheli/yıkıcı bir adım gerekiyorsa dur ve sahibinden onay iste.
### Faz 5 — Raporlama
- Yönetici özeti, teknik detay, etki analizi, CVSS skoru.
- Yeniden üretim adımları, düzeltme (remediation) önerileri, doğrulama adımları.
- Varsa kişisel veri ihlali değerlendirmesi (KVKK/GDPR).
---
## 3. CVSS 3.1 Skorlama
| Skor | Risk |
|------|------|
| 9.0 – 10.0 | Critical |
| 7.0 – 8.9 | High |
| 4.0 – 6.9 | Medium |
| 0.1 – 3.9 | Low |
| 0.0 | Info |
---
## 4. Bulgu Rapor Şablonu
```markdown
## [Zafiyet Adı]
**CVSS:** X.X (Risk)
**Kategori:** OWASP WSTG/API başlığı
**Etkilenen bileşen:** /path veya uç
### Açıklama
Zafiyetin ne olduğu ve neden risk oluşturduğu.
### Yeniden Üretim
1. Adım adım, kapsam içinde, minimum etkili tekrar.
### Etki
Gerçekçi iş etkisi (veri sızıntısı, hesap ele geçirme vb.).
### Düzeltme Önerisi
1. Somut, uygulanabilir düzeltme adımları.
### Doğrulama
Düzeltmenin işe yaradığını gösteren kontrol.
```
---
## 5. Hassas Veri ve Gizlilik
- Test sırasında karşılaşılan kimlik bilgisi/token/kişisel veri **raporda maskelenerek** verilir.
- Bulgular güvenli, erişimi sınırlı bir yerde tutulur; **asla** public repoya veya paylaşılan ortama girmez.
- İş bittiğinde toplanan veri, sözleşmedeki saklama süresine göre imha edilir.
- Hiçbir hassas değer log'a yazılmaz.
---
## 6. Sorumlu İfşa (Responsible Disclosure)
- Bulgular önce **sistem sahibine** bildirilir; düzeltme için makul süre tanınır.
- Kamuya açıklama, ancak sahiple mutabık kalınan zaman çizelgesine göre yapılır.
- Amaç zarar vermek değil, riski azaltmaktır.
---
## 7. Raporlama Çıktı Yapısı
```
engagement/{musteri}/
├── reports/
│ ├── ozet.md # Yönetici özeti
│ ├── bulgular.md # Zafiyet detayları (maskeli)
│ └── duzeltme.md # Remediation planı
└── kanit/
├── ekran-goruntuleri/
└── poc/ # Kapsam içi kavram kanıtları
```
---
> **Uyarı:** Bu metodoloji yalnızca yetkili, kapsamı tanımlı güvenlik değerlendirmeleri içindir.
> İzinsiz sistem testi, hizmet kesintisi ve kapsam dışı hedefleme yasa dışıdır ve etik değildir.Değişiklik öner
Bu promptu yalnızca sahibi düzenleyebilir; ama sen bir iyileştirme önerebilirsin. Sahibi kabul ederse içerik güncellenir.