- Katılım
- 2 Ocak 2026
- Mesajlar
- 66
- Tepkime puanı
- 76
- Puan
- 18
Pentest raporu mu, o da ne?
Aktif olarak pentest yaptığını bildiğim bir çok kişinin rapor yazma noktasında problemi olduğunu fark ettim. Gelin sizlerle beraber bir pentest raporunda neler olmalı ve raporlamalarda yapılan hatalardan bahsedelim.
Pentest raporlarında yapılan başlıca hatalar şunlardır:
- Rapor belirsizliklerle doludur
- Zafiyetin meydana getireceği problemlerden yeterince bahsetmez
3. Çok dolaylı cümleler kurarak raporu yazıya boğar
4. “Şirket bu zaafiyet ile neler kaybeder?” sorusu genelde raporda cevaplanmaz.
5. Bulunan zafiyet fotoğraf ile desteklenmez
6. Raporda belirli bir düzen yoktur.
7. Zafiyetin nasıl kapanacağından bahsedilmez( Bunu teknik olarak açıklamak zorunda değilsin)
Zannımca belli başlı problemler bunlardır. En azından benim sıklıkla karşılaştığım problemler. Peki bir rapor nasıl olmalı? Anlattığım maddelerin tersini yaparak tabi ki de.
Raporun ne kadar kıymetli olduğunu sana şöyle kısaca açıklıyayım.
https://medium.com/plans?source=upg...97afd2---------------------------------------
Sql inj. zafiyeti bulduğunu düşün. Sen raporda bunu ss aldığın fotoğraflarla desteklemedin, açığa çıkan verilerin kişisel veyahut şirket için değer atfedefen veriler olduğunu, bunların ele geçirilmesi ciddi manada maddi ve itibar kaybı yaşayacağını belirtmedin.
P5 yedin kardeşim geçmiş olsun. Muhtemel senaryo bu olacak.
Pentest raporu sadece sıradan bir rapordan ibaret değil. O seni ifade eden her şey. Kurumla iletişimini başlatan ve zafiyeti tanıttığın en önemli unsur.
Pentest raporu bir sonuç değil doğabilecek her sonucun hızlı bir fragmanıdır, başlangıcıdır.
Şimdi kalk ve sürekli kullanabileceğin, pratik bir şablon oluştur.
Şablonda özellikle şunlara dikkat et:
1. Zafiyet adı( bu kısımda zafiyeti net olarak ifade et )2. Açığı bulduğun uzantı
3. CVSS (varsa kesinlikle yaz)
4. Açıklama ( Şirketi ne tür tehlikelere uğratabileceğinden bahsedeceğin kısa ve öz kısım)
5. İş etkisi (Teknik olmayan yöneticinin “neden umursamalıyım?” sorusuna cevap.)
6. Teknik detay ( Burası evet teknik detay kısmı lakin sade ve anlaşılır bir şekilde yaz)
7. PoC (kanıtın yoksa raporun ciddiyeti nerde? )
8. Çözüm önerisi ( burada illa teknik bir şeyler yazacaksın diye bir şey yok sadece sorunun kapanabilme yollarını anlat. Sen çözümü teknik olarak bilmek zorunda değilsin)
Unutma, raporun kabulü tamamen raporuna bağlıdır. Raporun ne kadar teknik,anlaşılır,açık, zafiyeti iyi ifade ederse o kadar çok ciddiye alınır ve ödüle layık olur
ZEKİ KAYAALP/PENTESTER
Bizzat kendi şirketimizden geçen ay