VS-PRF-2026-0519-security-assessment.pdf

Salt okunur erişim · 5 / 32 · 118%

PDF önizlemePaketleri incele Hesap oluştur

VefaSec sample report

Bu raporda müşteriye tam olarak ne teslim edilir?

Örnek rapor, ödeme yapmadan önce teslim formatını görmeniz için hazırlanmıştır. Gerçek teslimatta risk seviyesi, doğrulanmış bulgular, kanıtlar, düzeltme önerileri ve ilk 30 günlük aksiyon planı aynı düzende sunulur.

Risk özeti

Kritik/yüksek/orta/düşük dağılımı ve genel güvenlik skoru tek bakışta görülür.

Kanıtlı bulgu

Her bulgu etki, kanıt, CVSS, etkilenen alan ve önerilen aksiyonla birlikte yazılır.

Öncelik planı

İlk 48 saat, 14 gün ve 30 gün içinde kapatılacak maddeler ayrılır.

Panel teslimi

Rapor bağlantısı müşteri panelinde süreli erişimle tutulur; e-posta yalnızca bildirim için kullanılır.

VefaSec Security Command01

VefaSec

Security Command

CONFIDENTIAL - CUSTOMER COPY

Website Security Assessment Report

Profesyonel ölçüm

Kritik bulgu tespit edilmedi. E-posta güvenliği, tarayıcı tarafı korumalar ve oturum sertleştirmesi kısa vadede güçlendirilmelidir.

Hazırlanan müşteri: Örnek Site A.Ş.
Ölçülen web sitesi: ornek-site.com
Hazırlayan: VefaSec Security Command
Teslim tarihi: 19 Mayıs 2026
Rapor kodu: VS-PRF-2026-0519
Erişim süresi: 30 gün

Genel güvenlik skoru

İyileştirme gerekli

/ 100

VefaSec Security Command02

VS-PRF-2026-0519

Yönetici özeti

Örnek hedefte doğrudan acil istismar edilebilir kritik açık tespit edilmedi. Buna rağmen marka taklidi, tarayıcı tarafı saldırı yüzeyi ve oturum güvenliği tarafında kısa vadede kapatılması gereken riskler bulundu.

Müşterinin teslim aldığı çıktı

Yönetici özeti

Teknik olmayan karar vericiler için genel risk resmi, iş etkisi ve öncelik sırası.

Teknik bulgu kaydı

Her bulgu için etkilenen alan, CVSS, kanıt, etki ve uygulanabilir düzeltme önerisi.

Kapanış takibi

Müşteri panelinde incelendi, aksiyon alındı ve kapandı durumlarıyla takip.

Kritik

Acil kapatma gerektiren bulgu yok

Yüksek

İlk 7-14 gün içinde kapatılmalı

Orta

Planlı iyileştirme takibine alınmalı

Düşük

Sertleştirme ve hijyen önerisi

Kapsam ve yetkilendirme

Ana kapsam

Web uygulaması, yönlendirmeler, TLS, HTTP güvenlik başlıkları, DNS ve e-posta kayıtları

Yetkili işlem

Yalnızca site sahipliği onaylanan hedeflerde ölçüm yapılır

Riskli kontroller

Profesyonel pakette müşteri izniyle sınırlı saldırı simülasyonu uygulanır

Hariç alanlar

Üçüncü taraf servisler, izin verilmeyen alt alan adları ve sosyal mühendislik dahil değildir

Metodoloji

1Pasif keşif ve güvenli otomatik tarama
230+ araç çıktısının manuel doğrulanması
3OWASP WSTG, OWASP ASVS ve CVSS 4.0 referanslı önceliklendirme
4Yanlış pozitif temizliği ve etki odaklı yorumlama
5Panel üzerinden rapor teslimi ve aksiyon takibi

Revizyon geçmişi

1.0

İlk teslim

19 Mayıs 2026

1.1

Müşteri notları eklendi

Beklemede

VefaSec Security Command03

VS-PRF-2026-0519

Öncelikli risk kaydı

Bulgu

Seviye

CVSS

Sorumlu

Kapanış

Durum

VS-01

Content-Security-Policy uygulanmıyor

Yüksek

8.1

Frontend / altyapı

7 gün

Aksiyon bekliyor

VS-02

DMARC politikası izleme modunda kalmış

Yüksek

7.4

DNS / mail

14 gün

Planlandı

VS-03

HSTS süresi kurumsal seviye için düşük

Orta

5.9

Altyapı

30 gün

İnceleniyor

VS-04

Oturum cookie ayarlarında SameSite açık değil

Orta

5.3

Backend

30 gün

Aksiyon bekliyor

İçindekiler

Yönetici özeti

Kapsam ve yetkilendirme

Öncelikli risk kaydı

Doğrulanmış bulgular

Kanıt ekleri ve teslim notları

CONFIDENTIAL - CUSTOMER COPY

Bu örnek raporda gerçek müşteri adı, IP, token, kullanıcı verisi ve hassas sistem çıktısı maskelenmiştir. Gerçek raporlar aynı formatta, müşteri panelinde süreli erişimle teslim edilir.

VefaSec Security Command12

VS-01 · CVSS 8.1

Bulgu detayı: Content-Security-Policy uygulanmıyor

Etkilenen alan: Ana web sitesi
Sorumlu alan: Frontend / altyapı
Durum: Aksiyon bekliyor
Kapanış: 7 gün

CVSS v4.0 vektörü

AV:N/AC:L/AT:N/PR:N/UI:R/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N

Etki

XSS veya üçüncü taraf script enjeksiyonu durumunda tarayıcı tarafı koruma zayıf kalır.

Kanıt

Yanıt başlıklarında CSP görülmedi. Script kaynakları, frame kullanım kuralları ve object-src politikası sınırlandırılmamış.

Önerilen aksiyon

Önce Report-Only modunda politika izlenmeli, ardından script-src, frame-ancestors ve object-src kuralları canlıya alınmalıdır.

Maskelenmiş yanıt örneği

HTTP/2 200
server: masked
strict-transport-security: max-age=2592000
x-content-type-options: nosniff
content-security-policy: <not present>
set-cookie: session=<masked>; Secure; HttpOnly

Kanıt zinciri

Gözlem

Araç çıktısı ve manuel kontrol aynı bulgu altında birleştirilir.

Doğrulama

Yanlış pozitifler temizlenir, istismar riski ve iş etkisi ayrıştırılır.

Aksiyon

Düzeltme adımı, sorumlu alan ve kapanış penceresi netleştirilir.

VefaSec Security Command28

VS-PRF-2026-0519

Teslim ve erişim notları

İlk 30 gün aksiyon planı

0-48 saat

CSP Report-Only başlatılır, DMARC raporları incelenir, düşük riskli başlık sertleştirmeleri hazırlanır.

3-14 gün

CSP canlıya alınır, DMARC kademeli engellemeye geçirilir, oturum cookie davranışı test edilir.

15-30 gün

HSTS uzun süreye çekilir, kalan orta ve düşük bulgular kapatılır, panelde kapanış kanıtları arşivlenir.

Teslim ve erişim notları

Rapor bağlantısı müşteri panelindeki Raporlar alanında gösterilir.
E-posta bildirimi yalnızca raporun hazır olduğunu bildirir; hassas bağlantı panelde tutulur.
Erişim süresi admin panelde belirlenen 7 veya 30 günlük süreye göre gösterilir.
Müşteri bulguları incelendi, aksiyon alındı veya kapandı olarak takip edebilir.

CONFIDENTIAL - CUSTOMER COPY

Hesap oluştur Paketleri incele