Anasayfa Güvenlik ve Siber Koruma Etik Hacking 2026: Penetration Testing ile Web Sitelerinizi Kendiniz Güvenli Hale Getirme Rehberi

Etik Hacking 2026: Penetration Testing ile Web Sitelerinizi Kendiniz Güvenli Hale Getirme Rehberi

Son güncelleme tarihi Feb 16, 2026

Giriş

Etik hacking, sistemleri yasal izinle test ederek güvenlik açıklarını bulma ve düzeltme sürecidir. Kötü niyetli saldırılara karşı proaktif koruma sağlar.

Yasal çerçeve: Her test öncesi yazılı izin alın. Bug bounty programlarına katılın. KVKK ve GDPR uyumlu olun, veri işleme kurallarına dikkat edin.

UYARI: İzin olmadan pentest yapmak TCK 243-244’e göre suçtur, hapis ve para cezası riski taşır.

Penetration Testing Aşamaları (OWASP Testing Guide referanslı)

  1. Reconnaissance: Pasif bilgi toplama (whois, Google Dorking, Shodan).

  2. Scanning: Aktif tarama (port, vulnerability).

  3. Gaining Access: Exploit ile giriş.

  4. Maintaining Access: Kalıcı erişim (backdoor).

  5. Covering Tracks: İzleri silme.

OWASP Web Security Testing Guide v4.2’yi temel alın.

Araçlar ve Kullanım

  • Nmap port scanning: nmap -sV -sC -O target.com

  • Burp Suite / OWASP ZAP: Proxy kurun, otomatik scan çalıştırın.

  • Metasploit: msfconsole, use exploit/unix/webapp/..., set RHOSTS target, exploit.

  • Nikto: nikto -h http://target.com

  • Wireshark: Trafik yakalama ve analiz.

Kurulum: Kali Linux veya Parrot OS kullanın.

Yaygın Web Vulnerabilities ve Test Etme

SQL Injection

Örnek: Login formuna ' OR 1=1 -- girin.

Fix: Prepared statements (PDO, ORM).

XSS

Örnek: <script>alert(1)</script>

Fix: Input escape + Content-Security-Policy.

CSRF

Örnek: Token’sız form submit.

Fix: CSRF token + SameSite cookie.

Insecure Deserialization

Örnek: PHP unserialize($_GET['data'])

Fix: Kullanıcı girdisini doğrula, JSON kullan.

Broken Authentication

Örnek: Weak password + no rate limit.

Fix: bcrypt/Argon2 + MFA + session timeout.

Her biri için OWASP ZAP ile otomatik tarama yapın.

Adım Adım Basit Pentest Örneği

  1. OWASP Juice Shop veya DVWA kurun (docker run -p 3000:3000 bkimminich/juice-shop).

  2. Nmap ile nmap -sV 127.0.0.1:3000.

  3. ZAP ile spider + active scan.

  4. SQLi bulursanız exploit edin (sqlmap).

  5. Erişim sağladıktan sonra screenshot alın.

  6. Testi bitirin, izleri temizleyin.

Kendi localhost’unuzda yapın.

Raporlama ve Remediation

Bulguları CVSS v3.1 ile sınıflandırın:

  • Critical: 9.0-10.0

  • High: 7.0-8.9

Remediation önerileri: Patch uygula, config değiştir, WAF kuralı ekle.

Rapor şablonu: Executive summary + bulgu detayı + proof + fix + timeline.

Hosting Bağlantısı

Pentest sonrası Kaliteweb gibi Türkiye veri merkezli, ISO 27001 sertifikalı hosting seçin. Ücretsiz SSL alın, Cloudflare WAF entegrasyonu ekleyin. DDoS koruması ve otomatik yedekleme ile kalıcı güvenlik sağlayın. Paketler aylık 0,79 TL’den başlar.

Etik Kurallar ve Sertifikalar

  • Etik: Scope dışına çıkmayın, bulguları sorumlu açıklayın.

  • Sertifikalar:

    • CEH (EC-Council) – temel.

    • OSCP (Offensive Security) – ileri seviye.

Yol haritası: TryHackMe/HackTheBox → eJPT → CEH → OSCP.

UYARI: Sertifika olmadan profesyonel çalışmayın.

Yaygın Hatalar ve Yasal Riskler

  • İzin almadan test → dava.

  • Scope aşımı → yasal sorun.

  • Raporu paylaşma → veri sızıntısı.

  • Araçları kötüye kullanma → izlenin.

Her zaman VPN + yasal ortam kullanın.