SAB Security
DEENTRFR

Örnek Rapor — Website Security Deep Review (499 €)

Gerçek bir güvenlik incelemesi böyle görünür.

Rapor, işletme sahipleri, yöneticiler ve karar vericiler için yazılmıştır — sadece teknik ekipler için değil. Anlaşılır, dürüst, gerçekçi riskler ve pratik önlemlerle. Korkuya dayalı satış yok. İşte gerçek bir rapordan bir alıntı.

1. Yönetici Özeti

Örnek Şirket Ltd. Şti. — ornek-sirket.com.tr

İnceleme tarihi: 14 Mayıs 2026 · Yazılı izinle · Pasif harici analiz · Denetçi: SAB Security, Karlsruhe

7
incelenen alan
2
aksiyon gerekli (Orta)
4
öneri (Düşük)
5
güvenli onaylandı

Genel izlenim: Web sitesi temelde iyi yapılandırılmış. HTTPS, HSTS ve en önemli güvenlik başlıkları doğru şekilde ayarlanmış. Açık yönetici paneli, veritabanı yedeği veya hassas yapılandırma dosyası bulunamadı. En önemli aksiyon ihtiyacı e-posta alanında: DKIM eksik ve DMARC sadece izleme modunda. DKIM olmadan, alan adınız kullanılarak sahte e-postalar gönderilebilir — müşteri güveni ve sahte faturalar için gerçek bir risk.

Sonuç: Kritik güvenlik açığı yok. Gerçek iş riski taşıyan iki orta seviye bulgu (DKIM eksik, iletişim formunda KVKK/GDPR süreç açığı). Tüm teknik öneriler düşük çabayla uygulanabilir. Düzeltmelerden sonra kısa bir yeniden test Deep Review paketine dahildir.

2. Kapsam & Yetkilendirme

Neler incelendi

  • DNS: A, AAAA, MX, TXT, SPF, DKIM, DMARC
  • HTTP→HTTPS yönlendirme ve www/non-www davranışı
  • TLS sertifikası ve şifreleme
  • Güvenlik başlıkları (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy)
  • Herkese açık dosyalar (.env, .git, yedekler, robots.txt, sitemap.xml, security.txt)
  • CMS / yönetici paneli tespiti
  • İletişim formu: doğrulama, onay, honeypot, temel XSS, hız sınırlama

Bilinçli olarak incelenmeyenler

  • Kaba kuvvet saldırısı yok
  • Hizmet engelleme testi yok
  • Sosyal mühendislik yok
  • Yıkıcı test yok
  • Korunan sistemlere veya verilere erişim yok
  • Kimlik bilgisi paylaşımı yok

Bu inceleme, müşterinin yazılı izniyle gerçekleştirilmiştir. Tüm testler pasif, tahribatsız ve yalnızca herkese açık bilgilerle sınırlıdır.

3. Yöntem

İnceleme, standartlaştırılmış ve tekrarlanabilir bir süreci takip eder — bir saldırganın web sitesine ilk bakışına benzer, ancak kontrollü, belgelenmiş ve zararlı eylemler içermez.

Tüm testler Almanya, Karlsruhe'den gerçekleştirilir. Her kontrol adımı tarih, saat ve sonuçla kaydedilir. Kullanılan araçlar: DNS sorguları (dig), HTTP başlık analizi (curl), TLS doğrulaması (openssl) ve tespit edilen girişlerin manuel incelemesi.

Rapor, gerçekçi ve iş odaklı bir değerlendirme kullanır:

Orta — Gerçek iş riski (kötüye kullanım, uyumluluk, müşteri güveni)
Düşük — Sertleştirme, ek önlemler, küçük iyileştirmeler
Bilgi — Gözlem, acil önlem gerekmez

Yalnızca teorik olan veya kanıtlanabilir iş etkisi olmayan bulgular dahil edilmez. Kanıtlanmış istismar zinciri olmadan "kritik" denmez.

4. Detaylı Bulgular

DKIM eksik — e-posta sahteciliği mümkün

Orta

Sonuç: Alan adı için hiçbir DKIM kaydı bulunamadı. Kontrol edilen seçiciler: default, google, selector1, selector2, mail, k1, cloudflare, cf.

selector1._domainkey.ornek-sirket.com.tr TXT:
Kayıt bulunamadı.
İş Etkisi
DKIM olmadan, @ornek-sirket.com.tr adresinden gelen e-postaların gerçekten sizden geldiğine dair kriptografik bir kanıt yoktur. Bir saldırgan, sizin gönderici adresinizle e-postalar oluşturabilir — örneğin müşterilerinize sahte bir fatura veya değiştirilmiş bir ödeme talebi. DKIM, SPF ve DMARC ile birlikte e-posta kimlik doğrulamasının üçüncü ayağıdır. Bu eksiklik, özellikle fatura veya gizli bilgileri e-posta ile gönderen bir işletme için önemlidir.

Öneri: E-posta sağlayıcınızda (Google Workspace, Microsoft 365, Cloudflare Email Routing vb.) DKIM imzalamayı yapılandırın. Sağlayıcı, DNS TXT kaydı olarak yayınlanacak genel anahtarı sağlar. Çaba: yaklaşık 15 dakika. Ardından SPF'yi -all ve DMARC'ı p=quarantine seviyesine yükseltin.

DMARC p=none — yaptırım yok

Düşük

Sonuç: DMARC mevcut ancak p=none (sadece izleme) olarak ayarlanmış.

_dmarc.ornek-sirket.com.tr TXT:
"v=DMARC1; p=none; rua=mailto:[email protected]"
İş Etkisi
p=none, kimliği doğrulanmamış e-postaların raporlandığı ancak reddedilmediği veya spam'e gönderilmediği anlamına gelir. Sahte e-postalar alıcılara ulaşmaya devam eder. İzleme iyi bir ilk adımdır, ancak raporlar değerlendirildikten sonra p=quarantine seviyesine yükseltilmelidir.

Öneri: DKIM yapılandırıldıktan sonra, DMARC raporlarını 2–4 hafta değerlendirin. Hiçbir meşru e-posta başarısız olmazsa, p=quarantine seviyesine yükseltin (2 hafta pct=25, sonra pct=100).

İletişim formunda gizlilik onayı sunucu tarafında kontrol edilmiyor

Orta

Sonuç: İletişim formu, gizlilik onayı kutusunu yalnızca tarayıcıda (istemci tarafında) kontrol ediyor. privacy_consent olmadan doğrudan POST isteği sunucu tarafından kabul ediliyor.

POST /scan/contact privacy_consent:false ile →
{"ok":true} — istek onay olmadan kaydedildi.
İş Etkisi
KVKK/GDPR kapsamında, kişisel verilerin işlenmesi belgelenmiş onaya dayanmalıdır. Onay yalnızca istemci tarafında kontrol edilirse, veriler izinsiz olarak saklanabilir — potansiyel uyumluluk riski olan bir süreç açığı. Pratik risk: düşük (sadece iletişim talepleri). Yasal risk: mevcut.

Öneri: Sunucu tarafı kontrolü ekleyin: privacy_consent !== true olan istekleri HTTP 400 ile reddedin. Çaba: yaklaşık 5 dakika.

CSP 'unsafe-inline' ve 'unsafe-eval' kullanıyor

Düşük

Sonuç: Content Security Policy, script-src içinde 'unsafe-inline' ve 'unsafe-eval' içeriyor.

İş Etkisi
Bu girdiler, CSP'nin XSS korumasını zayıflatır. Ancak mevcut yapılandırmada, site meşru satır içi betikler kullandığı için gereklidir. Site statik olduğundan ve kullanıcı girdilerini dinamik olarak işlemediğinden risk düşüktür.

Öneri: Orta vadede: satır içi betikleri harici .js dosyalarına taşıyın (nonce veya hash ile). Site dinamik kullanıcı içeriği işlemediği sürece mevcut yapılandırma kabul edilebilir.

security.txt'de referans verilen PGP anahtarı erişilebilir değil

Düşük

Sonuç: security.txt, /.well-known/pgp-key.txt adresinde bir PGP anahtarına referans veriyor, ancak bu adres HTTP 403 (Forbidden) döndürüyor.

İş Etkisi
Bir güvenlik açığını gizli olarak bildirmek isteyen güvenlik araştırmacıları mesajlarını şifreleyemez. Pratik risk düşük, ancak güvenilir iletişim için kaçırılmış bir fırsat.

Öneri: PGP anahtarını yayınlayın (nginx kuralını ayarlayın) veya security.txt'den referansı kaldırın. Çaba: 2 dakika.

5. Doğrulanmış Güvenlik Önlemleri

Kontrol AlanıSonuç
HTTPS & TLSTLS 1.3, geçerli Let's Encrypt sertifikasıGüvenli
HTTP→HTTPS Yönlendirme301 yönlendirmesi doğru çalışıyorGüvenli
HSTS (HTTP Strict Transport Security)max-age=31536000; includeSubDomains; preloadGüvenli
X-Frame-Options / X-Content-Type-OptionsSAMEORIGIN / nosniff — doğru ayarlanmışGüvenli
Referrer-Policy / Permissions-PolicyKısıtlayıcı ve anlamlı şekilde yapılandırılmışGüvenli
Hassas dosyalar.env, .git/* 403 ile engelleniyorGüvenli
Yönetici paneli yok/wp-admin, /admin, CMS arka ucu açık değilGüvenli
robots.txt / sitemap.xml / security.txtÜçü de mevcut ve doğruMevcut

6. Yeniden Test (Deep Review paketine dahil)

Website Security Deep Review (499 €), önerilen önlemleri uyguladıktan sonra tam olarak bir kısa yeniden test içerir.

BulguDurum
DKIM eksikAçık
DMARC p=noneAçık
Gizlilik onayı sunucu tarafıAçık
CSP unsafe-inlineKabul Edilen Risk
PGP anahtarı erişilebilir değilAçık

Düzeltildi — başarılı yeniden testten sonra bu duruma ayarlanır.
Kabul Edilen Risk — bilinçli olarak düzeltilmedi, belgelendi.
Açık — henüz ele alınmadı.

7. Önerilen Sonraki Adımlar

ÖncelikEylemÇaba
1E-posta sağlayıcınızda DKIM'i kurun~15 dk.
2Sunucu tarafı gizlilik onayı kontrolü ekleyin~5 dk.
3DKIM'den sonra DMARC'ı p=quarantine seviyesine yükseltin~5 dk.
4PGP anahtarını yayınlayın veya referansı kaldırın~2 dk.
5Satır içi betikleri harici dosyalara taşıyın (uzun vadeli)~1 sa.
Bu, gerçek bir Deep Review raporundan bir alıntıdır. Her rapor, alan adınıza ve durumunuza özel olarak — somut, uygulanabilir önerilerle hazırlanır. Jenerik tarayıcı çıktısı değil.

Website Security Deep Review talep et — 499 €    → Fiyatları görün