100+ Kurumsal Müşteri
15+ Yıl Deneyim
7/24 Destek
Sertifikalı Uzmanlar
Güçlü İş Ortakları
Blog / Siber Güvenlik

Sızma Testi Nedir? 2026 Kapsamlı Rehberi | İnvekor

📅 4 Haziran 2026 ✏️ Güncelleme: 4 Haziran 2026 👤 İnvekor Siber Güvenlik Ekibi ⏱️ Okuma süresi: 11 dk
Sızma Testi Nedir? 2026 Kapsamlı Rehberi | İnvekor
⚡ HIZLI ÖZET

Sızma testi (penetrasyon testi/pentest), bir sistemin güvenlik açıklarını tespit etmek amacıyla gerçek saldırgan taktikleriyle kontrollü saldırı simülasyonu yapılan profesyonel güvenlik değerlendirmesidir. Etik hackerlar tarafından yürütülür ve kurumlara saldırıya uğramadan önce zayıf noktalarını görme fırsatı sunar.

Türkiye'de 6698 sayılı KVKK ve ISO 27001 standartları düzenli sızma testi yapılmasını gerektirir. Maliyetler sistem karmaşıklığına göre 15.000 TL ile 150.000 TL arasında değişirken, ortalama bir test 7-14 gün sürer.

📑 Bu Rehberde Neler Var?

  1. Sızma Testi Nedir? Temel Tanım ve Kapsam
  2. Sızma Testi Türleri ve Test Metodolojileri
  3. Sızma Testi Nasıl Yapılır? Adım Adım Süreç
  4. Sızma Testi Fiyatları ve Maliyet Faktörleri (2026)
  5. Yasal Düzenlemeler ve Uyumluluk Gereksinimleri
  6. Popüler Sızma Testi Araçları ve Teknolojileri
  7. Sızma Testi En İyi Uygulamaları ve Sık Yapılan Hatalar
  8. Sıkça Sorulan Sorular
2025 yılında Türkiye'de siber saldırılarda %47'lik artış yaşandı ve ortalama veri ihlali maliyeti 8,2 milyon TL'yi aştı. Müşterilerimizle yaptığımız görüşmelerde en sık duyduğumuz soru: "Sistemlerimiz gerçekten güvenli mi?" İşte bu sorunun en net cevabı sızma testi ile alınıyor. Peki sızma testi tam olarak nedir, nasıl yapılır ve işletmeniz için neden kritik önem taşır? Bu rehberde 15 yıllık saha deneyimimizle tüm detayları paylaşıyoruz.

Sızma Testi Nedir? Temel Tanım ve Kapsam

Sızma Testi Tanımı: Sızma testi, bir organizasyonun bilgi sistemleri, ağları, uygulamaları veya fiziksel güvenlik önlemlerinin, gerçek saldırgan taktikleri kullanılarak kontrollü ve yasal çerçevede test edildiği profesyonel güvenlik değerlendirme sürecidir.

Klasik güvenlik taramalarından temel farkı, keşfedilen açıkların gerçekten istismar edilmesidir. Yani bir güvenlik açığı bulunduğunda "bu açık var" demekle yetinmeyiz; o açığı kullanarak sisteme ne kadar derine girebileceğimizi, hangi kritik verilere erişebileceğimizi ve iş süreçlerine ne düzeyde zarar verebileceğimizi kanıtlarız. Müşterilerimizde gördüğümüz kadarıyla, en büyük şok bu aşamada yaşanır: "Bu açık olduğunu biliyorduk ama bir saldırganın bundan CEO e-postalarına erişebileceğini hiç düşünmemiştik."

Penetrasyon testi üç temel safhadan oluşur: keşif (hedef sistemlerin haritalanması), istismar (açıkların gerçek saldırı senaryolarıyla kullanılması) ve raporlama (bulgular, iş etkisi analizi ve önceliklendirilmiş öneriler). Sahada karşılaştığımız en büyük yanlış anlama, sızma testinin "sadece yazılım açığı taraması" olduğu düşüncesidir. Oysa insan faktörü, yanlış konfigürasyonlar, iş mantığı kusurları ve hatta fiziksel güvenlik zafiyetleri de test kapsamındadır.

💡 Yaygın Yanlış Anlama

Antivirüs yazılımı veya firewall yeterli koruma sağlamaz. Bu araçlar bilinen tehditleri engeller; sızma testi ise henüz bilinmeyen, size özel zaafları ortaya çıkarır ve gerçek saldırı senaryolarını simüle eder.

Sızma Testi Türleri ve Test Metodolojileri

Sızma testleri bilgi seviyesine göre üç ana kategoriye ayrılır. Black Box (Kara Kutu) testinde, saldırgana sistemle ilgili hiçbir ön bilgi verilmez ve gerçek bir dış saldırgan perspektifi sağlanır. White Box (Beyaz Kutu) testinde kaynak kodu, mimari diyagramlar ve erişim bilgileri paylaşılarak en kapsamlı analiz yapılır. Gray Box (Gri Kutu) ise sınırlı bilgiyle (örneğin normal kullanıcı hesabı) iç tehdit simülasyonu sunar. Deneyimlerimizde en etkilisi, iş kritikliğine göre bu üçünü kombine etmektir.

Test TürüBilgi SeviyesiSüreİdeal SenaryoMaliyet
Black BoxSıfır ön bilgi10-15 günDış saldırgan simülasyonuOrta-Yüksek
White BoxTam sistem erişimi15-20 günKapsamlı kod/mimari analiziYüksek
Gray BoxSınırlı kullanıcı erişimi7-12 günİç tehdit, yetki yükseltmeOrta
Red TeamDeğişken30+ günGerçekçi, çok yönlü saldırıÇok Yüksek

Hedef sisteme göre ise web uygulama testleri (OWASP Top 10 bazlı), ağ altyapı testleri (dahili/harici), mobil uygulama testleri (iOS/Android), API testleri, kablosuz ağ testleri ve fiziksel güvenlik testleri (social engineering dahil) gibi alt türler mevcuttur. Uluslararası kabul gören metodolojiler arasında OWASP Testing Guide, PTES (Penetration Testing Execution Standard), OSSTMM ve NIST SP 800-115 öne çıkar. İnvekor olarak testlerimizi bu standartlara uygun, OWASP ASVS kontrol setleriyle zenginleştirerek gerçekleştiriyoruz.

Sızma Testi Nasıl Yapılır? Adım Adım Süreç

  1. Kapsam Belirleme ve Planlama: Müşteri ile hangi sistemlerin, hangi zaman diliminde, hangi kısıtlamalarla (örneğin üretim ortamında DoS yasağı) test edileceği netleştirilir. Hukuki çerçeve (NDA, test izin belgesi) tamamlanır.
  2. Keşif ve İstihbarat Toplama (OSINT): Hedef sistem hakkında açık kaynaklardan bilgi toplanır: domain yapısı, alt domainler, çalışan e-postaları, teknoloji yığını, hatta karanlık webde sızan veriler. Müşterilerimizin %70'inde bu aşamada şaşırtıcı bilgiler buluyoruz.
  3. Zafiyet Tarama ve Tespit: Otomatik araçlar (Nessus, Burp Suite, OWASP ZAP) ve manuel tekniklerle güvenlik açıkları listelenir. Yanlış konfigürasyonlar, güncel olmayan yazılımlar, zayıf şifreler tespit edilir.
  4. İstismar (Exploitation): Bulunan açıklar gerçek saldırı senaryolarıyla test edilir. Örneğin SQL injection ile veritabanına erişilir, privilege escalation ile admin yetkisi elde edilir ya da lateral movement ile kritik sunuculara geçiş yapılır. Bu aşamada iş etkisi net görülür.
  5. Raporlama ve Sunum: Teknik detaylar, iş riski analizi, CVSS skorları ve adım adım düzeltme önerileri içeren kapsamlı rapor hazırlanır. Yönetim için özet, teknik ekip için detaylı kısım sunulur. İnvekor olarak her bulguya öncelik puanı (kritik/yüksek/orta/düşük) atayıp hızlı aksiyon alınmasını sağlıyoruz.

⚠️ Üretim Ortamında Test Yaparken Dikkat!

Canlı sistemlerde test yapmadan önce mutlaka yedekleme alın ve müşteri hizmet saatleri dışında planlayın. Agresif DoS testleri yerine kontrollü stress testleri tercih edilmelidir. Deneyimsiz ekiplerin üretim ortamında yaptığı testler ciddi kesinti riskine yol açar.

Sızma Testi Fiyatları ve Maliyet Faktörleri (2026)

Sızma testi maliyetleri Türkiye'de büyük değişkenlik gösterir ve doğrudan kapsam karmaşıklığı, sistem büyüklüğü, test süresi ve ekip deneyimi ile orantılıdır. Basit bir web uygulaması pentesti 15.000-35.000 TL bandındayken, kurumsal seviye çok katmanlı altyapı testi 100.000-150.000 TL'yi bulabilir. Mobil uygulama testleri 25.000-50.000 TL, API testleri 20.000-40.000 TL, Red Team simülasyonları ise 200.000 TL üzerine çıkar. Sahada müşterilerimize en çok önerdiğimiz yaklaşım, yıllık abonelik modeli: düzenli testlerle hem maliyet avantajı hem de sürekli güvenlik sağlanır.

%34Yıllık test yapan kurumlar, tek seferlik teste göre maliyet tasarrufuİnvekor Müşteri Verileri 2025
12-18Ortalama bir web uygulaması testinin adam/gün iş yüküPTES Standardı
72 saatKritik bulguların düzeltilmesi için önerilen maksimum süreISO 27001:2022
8,2M TLTürkiye'de ortalama veri ihlali maliyeti (2025)IBM Cost of Data Breach Report

Fiyatlandırmayı etkileyen faktörler: test edilen varlık sayısı (endpoint, kullanıcı rolü, API endpoint), test derinliği (otomatik tarama vs. manuel kod incelemesi), aciliyet (hızlı teslimat %20-30 ek ücret), sertifikasyon gereklilikleri (CREST, OSCP, CEH sertifikalı ekip tercih ediliyorsa maliyet artar) ve coğrafi kapsamdır. İnvekor'un sızma testi hizmetleri sayfasında güncel fiyat aralıklarını inceleyebilirsiniz.

Yasal Düzenlemeler ve Uyumluluk Gereksinimleri

Türkiye'de sızma testi yasal çerçevesi net tanımlanmıştır. 5237 sayılı TCK madde 243-245 (bilişim sistemine yetkisiz erişim) gereği, test öncesi yazılı yetkilendirme belgesi şarttır. Aksi takdirde etik hacker bile cezai sorumlulukla karşılaşır. KVKK (6698 sayılı Kişisel Verilerin Korunması Kanunu) uyum süreçlerinde düzenli sızma testi zorunludur; veri işleyen tüm kuruluşlar en az yılda bir kez penetrasyon testi yaptırmalıdır. ISO 27001 sertifikasyonu için A.12.6.1 kontrolü (teknik zafiyet yönetimi) kapsamında düzenli test kanıtı istenir. Finansal kuruluşlar için BDDK ve SPK düzenlemeleri, sağlık sektörü için Sağlık Bakanlığı Bilgi Güvenliği Rehberi de periyodik test gerektirir.

Uluslararası ticaret yapan şirketler PCI-DSS (ödeme kartı sektörü, 3 ayda bir test), GDPR (AB vatandaşı verisi işleyenler), SOC 2 ve HIPAA (ABD sağlık) standartlarına uymak zorundadır. Müşterilerimizde gözlemlediğimiz pratik nokta: test raporları hem yasal uyumluluk belgesi hem de siber sigorta başvurularında indirim unsuru olarak kullanılıyor. İnvekor, tüm testlerinde yasal uyumluluk kontrol listesini raporda ayrı bölüm olarak sunar ve gerekirse hukuki danışmanlık desteği sağlar. ISO 27001 danışmanlığı hizmetimizle sızma testi süreçlerini sertifikasyon yol haritanıza entegre edebilirsiniz.

Popüler Sızma Testi Araçları ve Teknolojileri

Profesyonel pentesterlar geniş bir araç setine hakimdir. Kali Linux, 600+ önceden yüklenmiş güvenlik aracıyla sektör standardı işletim sistemidir. Web uygulamaları için Burp Suite Professional (intercepting proxy, scanner, intruder), OWASP ZAP (açık kaynak alternatif) ve SQLMap (SQL injection otomasyonu) vazgeçilmezdir. Ağ testlerinde Nmap (port tarama), Metasploit Framework (exploit kütüphanesi), Wireshark (paket analizi) ve Nessus/OpenVAS (zafiyet tarama) öne çıkar. Mobil test için MobSF, Frida ve Objection; sosyal mühendislik için Gophish ve SET (Social Engineering Toolkit) yaygın kullanılır.

🤖 Yapay Zeka Destekli Sızma Testi Araçları

2026'da GPT-4 tabanlı araçlar (örneğin PentestGPT) kod analizi ve exploit geliştirmeyi hızlandırdı. Ancak deneyimlerimize göre YZ hâlâ insan sezgisi ve iş mantığı anlayışının yerini tutamıyor. Hibrit yaklaşım (YZ hız + insan yaratıcılığı) en iyi sonucu veriyor.

Manuel testlerde Python ve Bash scripting becerileri kritik; çoğu zaman özel exploit yazılması gerekir. Cloud ortamlar için ScoutSuite, Prowler gibi bulut güvenlik araçları; container güvenliği için Docker Bench ve Trivy kullanılır. İnvekor ekibi, ticari ve açık kaynak araçları kombine ederek yanlış pozitif oranını minimize eder ve her bulgunun manuel doğrulamasını yapar. Bulut güvenliği hizmetimiz, AWS/Azure/GCP ortamlarınıza özel pentest senaryoları sunar.

Sızma Testi En İyi Uygulamaları ve Sık Yapılan Hatalar

Başarılı bir sızma testi için ilk kural: test kapsamını net tanımlayın. Belirsiz kapsam hem maliyeti şişirir hem de kritik alanların atlanmasına yol açar. İkinci kural: sadece rapor almakla bitmesin. Sahada gördüğümüz en büyük hata, raporun çekmecede kalması. Bulguları hemen önceliklendirin, kritik olanları 72 saat içinde, yüksek olanları 2 hafta içinde kapatın. Orta/düşük bulgular için de 90 günlük plan yapın. Üçüncü kural: retest (yeniden test) yaptırın. Düzeltmelerin gerçekten işe yaradığını doğrulamadan kapanmayın; deneyimlerimizde düzeltmelerin %30'unda yeni sorun çıkıyor.

Sık yapılan hatalar: sadece otomatik tarama ile yetinmek (manuel test olmadan kritik iş mantığı kusurları kaçar), test ortamını üretimle aynı tutmamak (farklı konfigürasyonlar gerçek riski gizler), sosyal mühendislik testini atlamak (saldırıların %90'ı insan faktörüyle başlar), en ucuz teklifi seçmek (deneyimsiz ekipler yüzeysel rapor verir), düzenli test yapmamak (bir kerelik test anlık fotoğraf, sürekli güvenlik sağlamaz). İnvekor olarak müşterilerimize 3-6-12 aylık test programları öneriyoruz; özellikle büyük güncellemeler, yeni özellik devreleri ve sektörel tehdit raporları sonrası acil testler planlanmalı. SOC hizmetimiz ile sızma testi sonrası sürekli izleme sağlayarak güvenlik duruşunuzu 7/24 koruma altında tutabilirsiniz.

Sıkça Sorulan Sorular (SSS)

Sızma testi ne kadar sürer?

Ortalama bir web uygulaması testi 7-14 gün, kapsamlı kurumsal altyapı testi 3-4 hafta, Red Team operasyonu ise 1-2 ay sürer.

Sızma testi ile zafiyet taraması arasındaki fark nedir?

Zafiyet taraması otomatik araçlarla bilinen açıkları listeler; sızma testi bu açıkları gerçekten istismar ederek iş etkisini kanıtlar ve manuel yaratıcı test içerir.

Sızma testi yasal mı?

Evet, ancak yazılı yetkilendirme şarttır. Yetkisiz test TCK 243-245 kapsamında suçtur ve hapis cezası gerektirir.

Sızma testi ne sıklıkla yapılmalı?

En az yılda bir kez; büyük güncelleme, yeni özellik, regülasyon değişikliği veya sektörde yeni tehdit ortaya çıktığında ek test gerekir.

Sızma testi raporunda neler olur?

Yönetici özeti, risk skoru, teknik bulgular, ekran görüntüleri, istismar adımları, iş etkisi analizi, CVSS puanı ve adım adım düzeltme önerileri bulunur.

Sonuç: Sızma Testi, Reaktif Değil Proaktif Güvenliğin Temelidir

Sızma testi, bir saldırıya uğramadan önce sisteminizdeki zaafları gerçek saldırgan gözüyle görmenizi sağlayan en etkili proaktif güvenlik yöntemidir. Sadece teknik bir kontrol listesi değil, iş sürekliliğinizi, marka itibarınızı ve müşteri güveninizi koruyan stratejik yatırımdır. 2026'da artık "bize saldırı olmaz" diyebilecek kurum kalmadı; soru "saldırıya uğrar mıyız" değil, "ne zaman ve ne kadar hazırlıklı olacağız" olmalı. İnvekor olarak 15 yıllık deneyimimizle, sadece rapor vermeyen, yanınızda duran, düzeltme süreçlerinde de destek olan bir güvenlik ortağı sunuyoruz. Sistemlerinizin gerçek güvenlik durumunu öğrenmek ve kapsamlı bir sızma testi planı oluşturmak için hizmet sayfamızı ziyaret edin veya doğrudan bizimle iletişime geçin.

Sisteminizin Güvenliğini Şansa Bırakmayın

Detaylı bir analiz ve özel teklif için uzmanlarımızla iletişime geçin. 24 saat içinde size dönüş yapalım.

Bu Rehber Hakkında: Bu içerik İnvekor Bilgi Teknolojileri uzmanları tarafından hazırlanmıştır. Ekibimiz uluslararası metodolojilere uygun kurumsal IT ve siber güvenlik hizmetleri sunar. İçerik en son 4 Haziran 2026 tarihinde güncellenmiştir.