Web Pentest Nedir?

u1ku1912 · 17 Eki 2025

Hepinize selamlar!

ben turkhackteam.org Anka Red TEAM'den,
@u1ku1912

Bugün sizlere total 21 dersten teorik ve pratik olmak üzere web pentest dersine giriş yapıyoruz.

İlk giriş dersimiz web pentest nedir? isimli dersimiz olacaktır,
hazırsanız başlayalım.

Web Pentest?

Web pentest web uygulamalarının ve sitelerinin açıklarını bulmak, pratikte değerlendirerek, raporlamak amacıyla yapılan etik veya etik olmayan saldırı çeşididir. Amaç, kötü niyetli kişiler saldırmadan önce sistemdeki zayıf noktaları tespit etmek ve bu açıkların nasıl istismar edilebileceğini göstermektir bu işlemi yapanlar white hat grubuna girerken raporlama grubuna girmeyen kendi çıkarları ve ideolojileri doğrultusunda yapanlar black hat grubuna girmektedir.

Neden Yapıyoruz?

Yazılım hataları, yanlış yapılandırmalar, güncel olmayan sistemler saldırılara açık olabilir.

Web uygulamaları genellikle kullanıcı verilerini, loglarını tutar. Açıklar, bu verilerin sızmasına yol açabilir. (Yakın tarihte discord verilerinin çalınması gibi)

KVKK, GDPR, PCI-DSS gibi regülasyonlar, güvenlik testlerini zorunlu kılar.

Saldırıya uğrayan kişi, kurum, topluluk itibarı zedelenebilir.

Temel Kavramlarımız:

Etik Hacker: Sisteme sahibinin izniyle saldırı testi yapan, bulduğu açıkları sisteme zarar vermeden raporlayan, sunan kişidir.

Black Hat, Siyah Şapkalı Hacker: Kötü niyetli saldırgan.

White Hat, Beyaz Şapkalı Hacker: Etik hacker.

Grey Hat, Gri Şapkalı Hacker: Prensiplere aykırı olsa da genellikle zararlı olmayan şekilde açık bulan, bazen açıklayan hacker.
(Açıklama zorunluluğu yoktur.)

yQYlC2XCQMuT0SHflerKm_F4ikHXbrhvU0D6mR3sycXLTfe0I1GKpHk2otkMcN7b1UOYzRhS1QfNGUDlJ-bOmo6z4f9U2UKcdfC1P8f-AGOLv3s57gK45QpYOWfJv1O9FkpdJHh6

Pentest Türleri:

Siyah Kutu, Black Box: Sistemi hiç tanımadan, dışarıdan saldırı yapılır.

Beyaz Kutu, White Box: Tüm sistem bilgileri pentester’a, sızma işlemi yapacak kişiye verilir.

Gri Kutu, Grey Box: Sınırlı, eldeki mevcut bilgiyle test yapılır.

Pentest Süreci:

Reconnaissance, Bilgi toplama: Hedef hakkında bilgi toplanır, aktif ve pasif olmak üzere bilgi toplarlar.

Vulnerability Scanning, Güvenlik Açığı Taraması: Olası güvenlik açıkları taranır.

Exploitation, Sömürme: Bulunan açıklar sömürülerek sisteme yönetici (root) giriş sağlanmaya çalışılır.

Privilege Escalation, Yetki Yükseltmek: Sistemde daha fazla yetki elde edilmeye çalışılır. (Saldırı makinesinden kullanıcı makinesine)

Rapor: Tüm eldeki veriler ayrıntılı şekilde raporlanır ve sunulur.

Web-Application-Penetration-Testing-Steps-And-Methods.png

Web Penteste Kali Linux'un Rolü

Kali Linux, penetrasyon testlerinde en çok kullanılan işletim sistemlerinden biridir. Bunun nedeni siber güvenlik ile uğraşanlar açısından sade bir arayüze sahip olmasıdır, ve tool kullanım açısından windows işletim sistemine nazaran daha pratiklik sağlaması kaidesiyle içerisinde yüzlerce hatta binlerce güvenlik aracı barındırır
(Burp Suite, OWASP ZAP, Nikto, SQLmap, Dirb, Gobuster...)

Neden Kali Linux Kullanıyoruz ve Kullanmalıyız?

Ücretsizdir ve açık kaynaklıdır.

Kali Linux ile birlikte birçok pentest aracı gelmektedir, github gibi tool depolarındaki tool kurulumu oldukça kolaydır.

Topluluk ve dökümantasyon desteği çok fazladır.

Saldırı, sızma, sömürme, bilgi toplama ortamı için ideal bir alan sunmaktadır.

Sıkça Kullanacağımız Toollar:

Burp Suite: Web trafiğini keser ve incelemeye yarar.

OWASP ZAP: Otomatik açık taraması yapar.

Nikto: Web sunucusu açıklıklarını tarar.

SQLmap: SQL injection açıklarını tespit ve istismar eder.

Dirb, Gobuster: Gizli dizin ve dosya taraması yapar.
(ÜZERİNDE DURACAĞIZ)

DarkNode · 17 Eki 2025

u1ku1912' Alıntı:
Hepinize selamlar!

ben turkhackteam.org Anka Red TEAM'den,
@u1ku1912

Bugün sizlere total 21 dersten teorik ve pratik olmak üzere web pentest dersine giriş yapıyoruz.

İlk giriş dersimiz web pentest nedir? isimli dersimiz olacaktır,
hazırsanız başlayalım.

Web Pentest?

Web pentest web uygulamalarının ve sitelerinin açıklarını bulmak, pratikte değerlendirerek, raporlamak amacıyla yapılan etik veya etik olmayan saldırı çeşididir. Amaç, kötü niyetli kişiler saldırmadan önce sistemdeki zayıf noktaları tespit etmek ve bu açıkların nasıl istismar edilebileceğini göstermektir bu işlemi yapanlar white hat grubuna girerken raporlama grubuna girmeyen kendi çıkarları ve ideolojileri doğrultusunda yapanlar black hat grubuna girmektedir.

Neden Yapıyoruz?

Yazılım hataları, yanlış yapılandırmalar, güncel olmayan sistemler saldırılara açık olabilir.

Web uygulamaları genellikle kullanıcı verilerini, loglarını tutar. Açıklar, bu verilerin sızmasına yol açabilir. (Yakın tarihte discord verilerinin çalınması gibi)

KVKK, GDPR, PCI-DSS gibi regülasyonlar, güvenlik testlerini zorunlu kılar.

Saldırıya uğrayan kişi, kurum, topluluk itibarı zedelenebilir.

Temel Kavramlarımız:

Etik Hacker: Sisteme sahibinin izniyle saldırı testi yapan, bulduğu açıkları sisteme zarar vermeden raporlayan, sunan kişidir.

Black Hat, Siyah Şapkalı Hacker: Kötü niyetli saldırgan.

White Hat, Beyaz Şapkalı Hacker: Etik hacker.

Grey Hat, Gri Şapkalı Hacker: Prensiplere aykırı olsa da genellikle zararlı olmayan şekilde açık bulan, bazen açıklayan hacker.
(Açıklama zorunluluğu yoktur.)

Pentest Türleri:

Siyah Kutu, Black Box: Sistemi hiç tanımadan, dışarıdan saldırı yapılır.

Beyaz Kutu, White Box: Tüm sistem bilgileri pentester’a, sızma işlemi yapacak kişiye verilir.

Gri Kutu, Grey Box: Sınırlı, eldeki mevcut bilgiyle test yapılır.

Pentest Süreci:

Reconnaissance, Bilgi toplama: Hedef hakkında bilgi toplanır, aktif ve pasif olmak üzere bilgi toplarlar.

Vulnerability Scanning, Güvenlik Açığı Taraması: Olası güvenlik açıkları taranır.

Exploitation, Sömürme: Bulunan açıklar sömürülerek sisteme yönetici (root) giriş sağlanmaya çalışılır.

Privilege Escalation, Yetki Yükseltmek: Sistemde daha fazla yetki elde edilmeye çalışılır. (Saldırı makinesinden kullanıcı makinesine)

Rapor: Tüm eldeki veriler ayrıntılı şekilde raporlanır ve sunulur.

Web Penteste Kali Linux'un Rolü

Kali Linux, penetrasyon testlerinde en çok kullanılan işletim sistemlerinden biridir. Bunun nedeni siber güvenlik ile uğraşanlar açısından sade bir arayüze sahip olmasıdır, ve tool kullanım açısından windows işletim sistemine nazaran daha pratiklik sağlaması kaidesiyle içerisinde yüzlerce hatta binlerce güvenlik aracı barındırır
(Burp Suite, OWASP ZAP, Nikto, SQLmap, Dirb, Gobuster...)

Neden Kali Linux Kullanıyoruz ve Kullanmalıyız?

Ücretsizdir ve açık kaynaklıdır.

Kali Linux ile birlikte birçok pentest aracı gelmektedir, github gibi tool depolarındaki tool kurulumu oldukça kolaydır.

Topluluk ve dökümantasyon desteği çok fazladır.

Saldırı, sızma, sömürme, bilgi toplama ortamı için ideal bir alan sunmaktadır.

Sıkça Kullanacağımız Toollar:

Burp Suite: Web trafiğini keser ve incelemeye yarar.

OWASP ZAP: Otomatik açık taraması yapar.

Nikto: Web sunucusu açıklıklarını tarar.

SQLmap: SQL injection açıklarını tespit ve istismar eder.

Dirb, Gobuster: Gizli dizin ve dosya taraması yapar.
(ÜZERİNDE DURACAĞIZ)

İlk mesaj benden olsun eline sağlık iyi anlatım

ferah-KaRoN · 17 Eki 2025

ellerine saglık takip edecegim devamını

ATK · 17 Eki 2025

Elinize Sağlık

aslak35 ! · 17 Eki 2025

u1ku1912' Alıntı:
Hepinize selamlar!

ben turkhackteam.org Anka Red TEAM'den,
@u1ku1912

Bugün sizlere total 21 dersten teorik ve pratik olmak üzere web pentest dersine giriş yapıyoruz.

İlk giriş dersimiz web pentest nedir? isimli dersimiz olacaktır,
hazırsanız başlayalım.

Web Pentest?

Web pentest web uygulamalarının ve sitelerinin açıklarını bulmak, pratikte değerlendirerek, raporlamak amacıyla yapılan etik veya etik olmayan saldırı çeşididir. Amaç, kötü niyetli kişiler saldırmadan önce sistemdeki zayıf noktaları tespit etmek ve bu açıkların nasıl istismar edilebileceğini göstermektir bu işlemi yapanlar white hat grubuna girerken raporlama grubuna girmeyen kendi çıkarları ve ideolojileri doğrultusunda yapanlar black hat grubuna girmektedir.

Neden Yapıyoruz?

Yazılım hataları, yanlış yapılandırmalar, güncel olmayan sistemler saldırılara açık olabilir.

Web uygulamaları genellikle kullanıcı verilerini, loglarını tutar. Açıklar, bu verilerin sızmasına yol açabilir. (Yakın tarihte discord verilerinin çalınması gibi)

KVKK, GDPR, PCI-DSS gibi regülasyonlar, güvenlik testlerini zorunlu kılar.

Saldırıya uğrayan kişi, kurum, topluluk itibarı zedelenebilir.

Temel Kavramlarımız:

Etik Hacker: Sisteme sahibinin izniyle saldırı testi yapan, bulduğu açıkları sisteme zarar vermeden raporlayan, sunan kişidir.

Black Hat, Siyah Şapkalı Hacker: Kötü niyetli saldırgan.

White Hat, Beyaz Şapkalı Hacker: Etik hacker.

Grey Hat, Gri Şapkalı Hacker: Prensiplere aykırı olsa da genellikle zararlı olmayan şekilde açık bulan, bazen açıklayan hacker.
(Açıklama zorunluluğu yoktur.)

Pentest Türleri:

Siyah Kutu, Black Box: Sistemi hiç tanımadan, dışarıdan saldırı yapılır.

Beyaz Kutu, White Box: Tüm sistem bilgileri pentester’a, sızma işlemi yapacak kişiye verilir.

Gri Kutu, Grey Box: Sınırlı, eldeki mevcut bilgiyle test yapılır.

Pentest Süreci:

Reconnaissance, Bilgi toplama: Hedef hakkında bilgi toplanır, aktif ve pasif olmak üzere bilgi toplarlar.

Vulnerability Scanning, Güvenlik Açığı Taraması: Olası güvenlik açıkları taranır.

Exploitation, Sömürme: Bulunan açıklar sömürülerek sisteme yönetici (root) giriş sağlanmaya çalışılır.

Privilege Escalation, Yetki Yükseltmek: Sistemde daha fazla yetki elde edilmeye çalışılır. (Saldırı makinesinden kullanıcı makinesine)

Rapor: Tüm eldeki veriler ayrıntılı şekilde raporlanır ve sunulur.

Web Penteste Kali Linux'un Rolü

Kali Linux, penetrasyon testlerinde en çok kullanılan işletim sistemlerinden biridir. Bunun nedeni siber güvenlik ile uğraşanlar açısından sade bir arayüze sahip olmasıdır, ve tool kullanım açısından windows işletim sistemine nazaran daha pratiklik sağlaması kaidesiyle içerisinde yüzlerce hatta binlerce güvenlik aracı barındırır
(Burp Suite, OWASP ZAP, Nikto, SQLmap, Dirb, Gobuster...)

Neden Kali Linux Kullanıyoruz ve Kullanmalıyız?

Ücretsizdir ve açık kaynaklıdır.

Kali Linux ile birlikte birçok pentest aracı gelmektedir, github gibi tool depolarındaki tool kurulumu oldukça kolaydır.

Topluluk ve dökümantasyon desteği çok fazladır.

Saldırı, sızma, sömürme, bilgi toplama ortamı için ideal bir alan sunmaktadır.

Sıkça Kullanacağımız Toollar:

Burp Suite: Web trafiğini keser ve incelemeye yarar.

OWASP ZAP: Otomatik açık taraması yapar.

Nikto: Web sunucusu açıklıklarını tarar.

SQLmap: SQL injection açıklarını tespit ve istismar eder.

Dirb, Gobuster: Gizli dizin ve dosya taraması yapar.
(ÜZERİNDE DURACAĞIZ)

yeni basic (lamer) ile adlandırılanlar için müthiş

mete.hun · 17 Eki 2025

Waf lar tam Bi Bi baş belası bence bunun üzerinden bir ayrı paylaşım yap olayı farklı seviyelere getirir.

u1ku1912 · 17 Eki 2025

aslak35 !' Alıntı:
yeni basic (lamer) ile adlandırılanlar için müthiş

Dostum zaten mantık en temelden alıp anlatmak? Direkt adama sql injection mu yaptıralım

mete.hun' Alıntı:
Waf lar tam Bi Bi baş belası bence bunun üzerinden bir ayrı paylaşım yap olayı farklı seviyelere getirir.

Değinilecektir.

Watnea · 17 Eki 2025

devamı gelirse güzel içerik

u1ku1912 · 17 Eki 2025

Watnea' Alıntı:
devamı gelirse güzel içerik

Teşekkürler bayım, gelecektir.

DarkNode' Alıntı:
İlk mesaj benden olsun eline sağlık iyi anlatım

Teşekkür ederim

ferah-KaRoN' Alıntı:
ellerine saglık takip edecegim devamını

Teşekkür ederim

ATK' Alıntı:
Elinize Sağlık

Sağolun

Web Pentest Nedir?

u1ku1912

Kıdemli Üye

DarkNode

Katılımcı Üye

ferah-KaRoN

Katılımcı Üye

ATK

Moderasyon Ekibi Stajyer Asistan

aslak35 !

Katılımcı Üye

mete.hun

Yeni üye

u1ku1912

Kıdemli Üye

Watnea

Uzman üye

u1ku1912

Kıdemli Üye

Sosyal medya sayfalarımız