Web Siteniz Ne Kadar Güvenli?

Alan adınızı girin; ücretsiz hesap oluşturduktan sonra TLS, güvenlik başlıkları, dış yüzey ve bilinen risk sinyalleri için VefaSec ön analiz akışına yönlendirilirsiniz.

Ölçüm için ücretsiz hesap gerekir·30+ sinyal

VefaSec Ölçüm Merkezi

Dış ve iç ağ sızma testi — saldırgan perspektifi.

VefaSec hizmet görseli

YÜZEY

Haritalandı

API

Test edildi

KİMLİK

Güçlendirildi

Sızma Testi (Pentest)

Diyarbakır pentest — black, grey ve white-box saldırı simülasyonları. OSINT ile keşiften post-exploit aşamasına, OWASP WSTG ve PTES metodolojileriyle tüm saldırı yüzeyi. Yönetici özeti, CVSS skorlu zafiyet listesi ve yeniden test ile teslim.

Diyarbakır pentest hizmetimiz; black, grey ve white-box saldırı simülasyonlarıyla tüm saldırı yüzeyini gerçek saldırgan perspektifinden test eder. OSINT keşiften tespit, istismar ve post-exploit aşamasına kadar; OWASP WSTG, PTES ve NIST SP 800-115 metodolojileri ile kapsamlı ve tekrar edilebilir bir süreç. Web, API, mobil, ağ, bulut altyapısı ve kaynak kod için uçtan uca kapsam. Yönetici özeti, CVSS 4.0 skorlu bulgu listesi, kanıt ekleri, düzeltme önerileri ve yeniden test döngüsü; güvenlik olgunluğunuzu kurumsal standartta belgeler ve yükseltir.

İlgili güvenlik hizmetleri

  • Diyarbakır web güvenliği

    Diyarbakır web güvenliği — OWASP Top 10, API, CMS ve kaynak kod sıkılaştırma. WAF kuralları, rate-limiting, kimlik doğru

  • Diyarbakır zafiyet taraması

    Sürekli otomatik zafiyet taraması ve önceliklendirilmiş raporlama. Haftalık dış yüzey keşfi, subdomain takibi, CVE bildi

  • Diyarbakır güvenlik danışmanlığı

    Güvenli yazılım yaşam döngüsü (SSDLC), ISO 27001 ve SOC 2 hazırlığı, KVKK uyum süreçleri. Tehdit modelleme, güvenlik mim

Diyarbakır konu ağı

Güvenlik ihtiyacını tek sayfaya sıkıştırmadan derinleştiriyoruz.

Ana hizmet sayfaları; API, e-ticaret, WordPress, KVKK, bulut ve WAF gibi alt niyetlerle birlikte çalışır. Bu yapı hem kullanıcıya doğru kapsamı gösterir hem de arama motoruna konu otoritesi sinyali verir.

Diyarbakır siber güvenlik merkeziPentest, web güvenliği, zafiyet taraması ve rapor akışını tek merkezde bağlar.Diyarbakır API güvenliğiREST, GraphQL, mobil API, yetkilendirme ve abuse-case kontrolleri.Diyarbakır e-ticaret güvenliğiÖdeme, sepet, kupon, hesap ve entegrasyon akışlarında iş mantığı riskleri.Diyarbakır WordPress güvenliğiEklenti, tema, WooCommerce, WAF, yedekleme ve admin paneli kontrolleri.Diyarbakır KVKK siber güvenlikKişisel veri işleyen sistemlerde erişim, loglama, şifreleme ve teknik tedbirler.Diyarbakır bulut güvenliğiSunucu, AWS, Azure, IAM, storage ve yanlış yapılandırma denetimi.Diyarbakır WAF kurulumuCloudflare, ModSecurity, kural seti, rate limit ve bot koruması.Diyarbakır olay müdahaleŞüpheli erişim, ihlal, kanıt toplama, izolasyon ve kök neden analizi.

Rehber ve ücretsiz kontrol noktaları

Paketli güvenlik ölçümü nasıl çalışır?Site sahipliği, kapsam, ödeme, rapor teslimi ve aksiyon takibi.Diyarbakır web güvenliği rehberiYerel işletmeler için HTTP header, WAF, WordPress ve KVKK kontrolleri.Ücretsiz site güvenlik tarayıcıPaket almadan önce temel güvenlik sinyallerini hızlıca kontrol edin.SSL ve TLS kontrolüSertifika, protokol ve yönlendirme hatalarını ölçen ücretsiz kontrol.
Kayıt ol24 Saat İçinde Yanıt
SEC · PENVefaSec

Sızma Testi (Pentest)

MerkezDiyarbakir / TR
KapsamGüvenlik
TeslimPanel + rapor

Diyarbakır'da Neden Pentest Gereklidir?

Diyarbakır ekonomisi son 5 yılda dijital dönüşümle birlikte OSB firmalarının, e-ticaret girişimlerinin ve kamu dijital hizmetlerinin yoğunlaşmasıyla saldırı yüzeyini ciddi şekilde genişletti. 2024-2026 arasında sadece Güneydoğu bölgesinde raporlanan siber olay sayısı %340 arttı — raporlanmayan vakalar dahil gerçek büyüme 5-7 kat olarak tahmin ediliyor. Sızma testi (pentest), bu artan tehdide karşı kurumsal savunmanın temel taşı.

Türkiye'deki KVKK, sektörel regülasyonlar (BDDK, EPDK, SPK) ve ISO 27001 gibi uluslararası standartlar düzenli güvenlik denetimi gerektiriyor. PCI-DSS uyumlu e-ticaret siteleri için yılda en az iki pentest zorunlu. KOBİ'ler için de müşteri, tedarikçi ve yatırımcı beklentileri güvenlik olgunluğunu kanıtlamayı şart koşuyor — pentest raporu bunun tek geçerli kanıtı.

Diyarbakır'dan hizmet sunan VefaSec ekibi olarak, yerel iş kültürüne ve sektörel dinamiklere aşinalığımız, proje süresini %20-30 kısaltıyor. Tekstil, mermer, tarım ve e-ticaret sektörlerindeki yerel müşteri profilimiz, sektör-spesifik saldırı senaryoları geliştirme avantajı sağlıyor.

Pentest Metodolojimiz: OWASP WSTG, PTES, NIST SP 800-115

Profesyonel pentest metodolojiye dayanır, kişisel tercihe değil. Biz üç uluslararası standart kullanıyoruz: OWASP Web Security Testing Guide (WSTG) web uygulamaları için, Penetration Testing Execution Standard (PTES) genel pentest akışı için, ve NIST SP 800-115 kamu / regüle sektör projeleri için. Her bulgu hangi metodolojinin hangi adımında keşfedildiğini raporda belgelendirir.

Faz 1 — Pre-engagement: kapsam netleştirme, RoE (Rules of Engagement) belgelendirme, emergency contact list. Faz 2 — Information Gathering: pasif OSINT (whois, DNS, Google dorks), aktif keşif (nmap, subdomain enumeration). Faz 3 — Threat Modeling: saldırı yüzeyi haritalama, hedefli senaryolar. Faz 4 — Vulnerability Analysis: otomatik tarama + manuel doğrulama.

Faz 5 — Exploitation: zafiyet istismarı, PoC geliştirme, güvenli exploitation (müşteri ortamına zarar vermeden). Faz 6 — Post-Exploitation: lateral movement, privilege escalation, data exfiltration simülasyonu. Faz 7 — Reporting: yönetici özeti, teknik rapor, CVSS 4.0 skorlu bulgular, adım adım remediation. Faz 8 — Re-test: düzeltme doğrulama, ücretsiz.

Pentest Türleri ve Ne Zaman Hangisi

Black-box pentest: Saldırgan perspektifi — sıfır bilgi ile başlangıç. Sadece IP/domain verilir. Gerçekçi saldırıyı simüle eder, zamanın çoğu keşifte geçer. Kapsam dar ama derin. Fiyat: orta seviye. Tipik süre: 10-15 iş günü. Uygun: internet-facing uygulamalar ve altyapılar için.

Grey-box pentest: Standart kullanıcı yetkisi ile başlar. Hem dış hem iç perspektifi tarar. Verimlilik/maliyet oranı en iyi. Tipik süre: 8-12 iş günü. Uygun: SaaS uygulamalar, B2B portallar, authenticated kısımları kritik olan sistemler için.

White-box pentest: Kaynak kod + altyapı erişimi ile başlar. En kapsamlı, en yüksek kalite. Statik kod analizi + dinamik testler. Tipik süre: 15-25 iş günü. Uygun: kritik altyapı, yeni ürün lansmanı öncesi, compliance (ISO 27001, SOC 2) için.

Red Team Engagement: Kapsamı kısıtlanmamış, tüm organizasyon hedef. Phishing, fiziksel erişim, sosyal mühendislik dahil. Blue team (SOC) detection'ını test eder. Süre: 4-8 hafta. Uygun: olgun güvenlik programına sahip kurumsal müşteriler için.

Kapsam Belirleme ve Fiyatlandırma

Her proje kapsam görüşmesi ile başlar — 30-45 dakikalık ücretsiz keşif seansı. Hedef sistem sayısı, teknoloji stack'i, mevcut güvenlik olgunluğu, regülasyon gereksinimleri ve bütçe üzerinden doğru kapsam önerilir. Blanket pentest fiyatı yok — kapsama göre şeffaf teklif veriyoruz.

KOBİ e-ticaret sitesi (50-200 ürün, 1-2 ödeme entegrasyonu): 5-7 iş günü, ₺35.000-60.000. Kurumsal SaaS (100+ kullanıcı, çok modüllü): 10-15 iş günü, ₺90.000-180.000. Banka/finansal kurum (PCI-DSS uyum): 15-30 iş günü, ₺200.000-500.000. Kamu/belediye kritik altyapı: 20-40 iş günü, ₺300.000-800.000.

Her teklif şunu içerir: metodoloji dokümanı, çalışan ekibin CV + sertifikaları, zaman çizelgesi, teslim edilecekler listesi, ücretsiz re-test kapsamı, NDA + veri koruma şartları. İsteyen müşterilere örnek anonim pentest raporu paylaşıyoruz — kalite standardımız net olsun diye.

Raporlama: Yönetici Özeti + Teknik Detay

Pentest raporunun kalitesi pentest'in kendisi kadar önemli. Bulguları anlamlandıramayan, aksiyon alınamayan rapor değersizdir. Raporlarımız üç katmanlıdır: (1) Yönetici Özeti — C-seviye kitleye yönelik, teknik olmayan dille iş riski açıklaması, 2-3 sayfa. (2) Findings Summary — bulgu listesi, CVSS 4.0 skor, etkilenen varlık, öncelik sıralı. (3) Technical Appendix — her bulgu için PoC ekran görüntüsü, adım adım istismar, remediation rehberi.

Her kritik ve yüksek bulgu için minimum 3-5 sayfa teknik içerik. Neden böyle bir zafiyet var? Saldırgan nasıl istismar ediyor? Somut kod veya konfigürasyon düzeltmesi nedir? Test edilmiş remediation (sadece 'CSP ekleyin' değil, tam CSP header string'i). Türk kurumsal müşteriler için rapor Türkçe, uluslararası müşteriler için İngilizce veya iki dilli.

Raporu sadece PDF olarak değil, interaktif bir web dashboard olarak da teslim ediyoruz. Müşteri düzeltme sonrası bulguyu 'çözüldü' olarak işaretleyebilir, re-test talebi oluşturabilir, tarih bazlı filtreleme yapabilir. Bulgu kapatma süresi, SLA uyumu, güvenlik olgunluk trendi dashboard üzerinden takip edilebilir.

Re-Test ve Uzun Vadeli İlişki

Pentest bir kez yapılıp unutulacak iş değil. Düzeltmelerin gerçekten kapattığı, yanında yeni zafiyet açmadığını doğrulamak için re-test şart. Her pentest projemizde 3 ay içinde ücretsiz re-test standart. Re-test süresi orijinal pentest'in %30-50'si — tespit edilen bulgular için hedefli doğrulama yapılır.

Yıllık retainer modeli ile uzun vadeli güvenlik ortağı oluyoruz — yılda 2 pentest + sürekli zafiyet taraması + acil durum müdahalesi. Bu model tek-seferlik pentest'in 1.8x maliyetinde ama güvenlik olgunluğunda 3-4x kat değer yaratır. Retainer müşterilerimiz arasında Diyarbakır merkezli tekstil, mermer, e-ticaret ve SaaS firmaları bulunuyor.

Sahadan Vaka Çalışmaları

Gerçek projelerden anonim örnekler

Diyarbakır OSB Tekstil Firması: Production ERP Pentest

Tekstil Üretimi
Sorun
200+ kullanıcılı ERP sistemi, müşteri sipariş, üretim planlama ve muhasebe modülleri. Eski PHP altyapısı, 5 yıldır major güvenlik denetimi yapılmamış. SAP entegrasyonu ve B2B API endpoint'leri dahil.
Çözüm
Grey-box pentest, 12 iş günü. OWASP WSTG + sektör-spesifik senaryolar. Kaynak kod örneklemeli inceleme + canlı exploitation + post-exploit simülasyon. Final rapor 47 bulgu, 3 kritik, 11 yüksek.
Sonuç
Kritik SQLi ve IDOR'lar 2 hafta içinde kapatıldı. WAF ve rate-limit eklendi, audit log yapısı kuruldu. Re-test'te 47 bulgunun 44'ü temizlendi, 3'ü accepted risk ile documented. Müşteri 2026'dan itibaren yıllık pentest sözleşmesine geçti.

E-Ticaret Platform: PCI-DSS Uyum Pentest'i

E-Ticaret
Sorun
Diyarbakır merkezli B2C e-ticaret sitesi (aylık 50K işlem). PCI-DSS Level 2 uyumu gerekli. Ödeme entegrasyonu + kredi kartı saklama (tokenization öncesi).
Çözüm
PCI-DSS gereksinimi 11.3 (penetration testing) karşılayan kapsamlı pentest. İç + dış ağ, web uygulaması, API, mobil uygulama. PTES metodolojisi, CVSS 4.0 skorlama.
Sonuç
PCI DSS ASV tarama ile birleşik sonuç, QSA denetiminde başarıyla geçti. Sertifikasyon 3 hafta içinde alındı. Müşteri artık Visa/Mastercard'a audit kanıtı olarak raporumuzu sunuyor.

SaaS Startup: Seed Yatırımcı Güvenlik Denetimi

SaaS Yazılım
Sorun
Diyarbakır + İstanbul hibrit ekip, 6 aylık ürün, ilk seed yatırım görüşmeleri öncesi due diligence. Yatırımcı 'kanıt temelli güvenlik denetimi' talep etti.
Çözüm
White-box pentest + mimari değerlendirme. 8 iş günü. Kaynak kod + AWS altyapısı + CI/CD + ürün özellikleri. Executive summary yatırımcı için özel formatta.
Sonuç
Yatırımcı güvenlik raporunu pozitif karşıladı, due diligence yeşil ışık aldı. Yatırım kapandıktan sonra müşteri VefaSec ile yıllık retainer sözleşmesi imzaladı.
Sıkça Sorulanlar

Bu hizmet hakkında merak edilenler

Pentest kaç gün sürer ve ne zaman planlayabilirim?

Kapsam büyüklüğüne göre 5-25 iş günü arasında değişir. Keşif görüşmesinden sonra 1-2 hafta içinde başlayabiliyoruz, acil durumlar için 2-3 gün içinde başlatma mümkün. Raporlama süresi kapsam bitiminden sonra 3-5 iş günü.

Pentest sırasında canlı sistemim etkilenir mi?

Varsayılan olarak hayır. Tüm exploitation'lar kontrollü ve zararsız yapılır, DoS senaryoları dahil değildir. İstenirse staging ortamında çalışabiliyoruz. Yine de risk alanları (ödeme akışı, production DB) için önceden yazılı onay alıyoruz.

Rapor hangi dilde ve formatta teslim edilir?

Türk müşterilere Türkçe, uluslararası müşterilere İngilizce standart. İki dilli teslim de mümkün (ek maliyet). Format: PDF yönetici özeti + PDF teknik rapor + interaktif web dashboard. Raw JSON formatı DevSecOps ekipleri için opsiyonel.

Ekibiniz hangi sertifikalara sahip?

OSCP (Offensive Security Certified Professional), OSWE (Web Expert), CEH (Certified Ethical Hacker), CISSP (Certified Information Systems Security Professional), AWS ve Azure Security Specialty. Senior pentester'ların ortalamadan 8+ yıl sektör deneyimi var.

Kaynak koduma erişim vermek istemiyorum, pentest mümkün mü?

Evet. Black-box veya grey-box pentest kaynak kod erişimi gerektirmez. Sadece hedef sistem URL'i ve (grey-box için) standart kullanıcı hesabı yeterli. White-box pentest kaynak kod ister ama NDA + secure access ile korunur.

Pentest'in sonuçlarını müşterilerime paylaşabilir miyim?

Evet, yönetici özeti genelde müşteri/tedarikçi/yatırımcı ile paylaşılabilir. Teknik rapor (istismar detayları) dahili tutulmalı. Paylaşıma özel 'executive version' raporu ek olarak hazırlayabiliriz.

Düzeltme sonrası re-test ücretli mi?

Hayır, proje bitiminden 3 ay içinde yapılan re-test ücretsiz standart. 3 ay sonrası için ek maliyet hesaplanır. Re-test kapsamı orijinal pentest'in bulguları ile sınırlıdır, yeni kapsam için yeni proje.

Bulgularınız CVE numarası alabiliyor mu?

Üçüncü taraf yazılımda bulgumuz varsa evet — responsible disclosure süreci yürütüp CVE ID alıyoruz. Kendi kaynak kodunuzdaki bulgular CVE kapsamı dışındadır ama raporumuzda detaylı dokümante edilir.

Uzaktan mı yerinde mi çalışıyorsunuz?

Varsayılan uzaktan (%90 vakalar). Tüm pentest aşamaları VPN ve secure access ile online yürütülür. Müşteri talebi veya fiziksel güvenlik denetimi dahilse yerinde çalışma mümkün (ek seyahat maliyeti).

Pentest ile zafiyet taraması arasındaki fark nedir?

Zafiyet taraması otomatik bir araç tarafından yapılan CVE eşleme çalışmasıdır — hızlı ve ucuz ama false positive oranı yüksek, manual doğrulama yok. Pentest insan uzman tarafından yürütülür — zafiyet bulur + istismar eder + iş riskini kanıtlar. Pentest içinde zafiyet taraması bir aşamadır ama ötesinde ciddi derinlik sunar.

Sözleşme nasıl yapılır?

NDA (bilgi gizliliği) + Master Services Agreement (MSA) + Statement of Work (SoW) üçlüsü. MSA uzun vadeli çerçeve, SoW her proje için özel kapsam. Kurumsal müşterilerin hukuk ekibinin şablonlarını da kabul ediyoruz.

Bu konuda blog yazılarımız