KOBİ Pentest Rehberi: Fiyat, Süre ve Kapsam Ne Olmalı?

Black-box pentest saldırganın sıfır bilgiyle başladığı senaryo — sadece bir URL veya IP aralığı verirsiniz, ekip OSINT ile başlar. Gerçek saldırıyı simüle eder ama zamanın çoğu keşifte geçer, bazı dahili zafiyetler atlanır. KOBİ'ler için 2-3 haftalık proje.

Grey-box dengeli seçenek: sıradan kullanıcı yetkisi verilir, ekip hem dış hem iç perspektifi denetler. Süre ve maliyet açısından en verimli. White-box ise kaynak kod + altyapı erişimi — en kapsamlı ama en pahalı. Kurumsal müşteriler için uygun.

Küçük e-ticaret sitesi (10-50 ürün, 1 ödeme entegrasyonu): 5-7 iş günü, ₺35.000-60.000 bandı. Kapsam: web uygulaması, ödeme akışı, admin paneli, API, bağımlılıklar. Teslim: 15-25 bulgu ortalama, CVSS skorlu rapor.

Orta ölçekli SaaS veya B2B portal (50-200 kullanıcı, çok modüllü): 10-15 iş günü, ₺90.000-180.000. Kapsam: tüm modüller, API, mobil uygulama varsa, bulut altyapısı konfigürasyonu. Teslim: 30-50 bulgu, yönetici özeti + teknik rapor.

Faz 1 — Keşif (OSINT): 1-2 gün. Domain, subdomain, çalışan LinkedIn profilleri, GitHub repo sızıntıları, public API endpoint'leri. Faz 2 — Zafiyet taraması: otomatik araçlar (Nuclei, OWASP ZAP, Burp Suite) + manuel doğrulama. 2-3 gün.

Faz 3 — İstismar (exploitation): manual pentest, payload geliştirme, post-exploit hareketleri. 3-5 gün. Faz 4 — Raporlama: 2-3 gün. Her bulgu için PoC, CVSS 4.0 skor, remediation rehberi. Faz 5 — Re-test: düzeltme sonrası 1-2 gün. Ücretsiz.

Yönetici özeti (2-3 sayfa, teknik olmayan dille iş riskini açıklayan). Teknik ek (her bulgu detayı, PoC ekran görüntüsü, adım adım istismar). CVSS 4.0 skorlamalı bulgu listesi (öncelikli sıralı). Risk matrisi (impact × likelihood). Remediation timeline (önerilen düzeltme sırası).

Kötü pentest raporu bir nmap çıktısıdır — bulgular listelenir ama ne yapacağınız muğlak. İyi pentest raporu, ekibinizin 'tamam, Salı öğleden sonra bunu kapatıyoruz' diyebildiği somut aksiyon planıdır. VefaSec raporlarında bulgu başına ortalama 3-5 sayfa remediation içeriği veriyoruz.

Minimum yılda 1 kez, kritik sistem değişikliğinden sonra (yeni modül, yeni entegrasyon, büyük framework upgrade) ek test. PCI-DSS gerekiyorsa yılda 2+ test zorunlu.

Sürekli zafiyet taraması (VefaSec aylık retainer) + yılda 1-2 manuel pentest + olay sonrası hedefli test — dengeli güvenlik olgunluğu için tavsiyemiz bu.

Uyarı işaretleri: fiyatı 'test sayısı' üzerinden veren (pentest saat bazlı veya kapsam bazlı fiyatlandırılır, test sayısı değil), sertifikalı personel göstermeyen (OSCP, CEH, CISSP), sadece otomatik tarama yapıp rapor yazan (manuel doğrulama olmazsa pentest değil, tarama), re-test ücretli diyen.

İyi pentest firmasının göstergeleri: şeffaf metodoloji (OWASP WSTG, PTES, NIST SP 800-115 referansları), sertifikalı kıdemli ekip, örnek anonimleştirilmiş rapor paylaşımı, ücretsiz re-test, PoC ekran görüntüleri içeren detaylı raporlar.