Mobil Uygulama Pentest Neyi Kapsar?

Temel Değerlendirme

Mobil uygulama pentest yalnızca APK veya IPA dosyasını taramak değildir. İyi bir test; client veri saklama, reverse engineering, jailbreak/root sinyalleri, SSL pinning, deep link, oturum yönetimi, backend API yetkilendirmesi, ödeme/fraud akışları ve log sızıntılarını birlikte inceler. Mobil güvenlik, cihazdaki uygulama ile sunucudaki API’nin aynı saldırı senaryosunda test edilmesiyle anlam kazanır.

Mobil Pentest Neden Farklıdır?

• Saldırgan uygulamayı indirir, parçalar, modifiye eder ve backend API ile doğrudan konuşur.
• Client güvenli görünse bile backend ownership kontrolü eksikse veri sızar.
• Token, refresh token, kişisel veri ve debug logları cihazda açık metin tutulmamalıdır.
• SSL pinning varlığı yeterli değildir; bypass sonrası backend davranışı da test edilir.
• Reverse engineering ile endpoint, feature flag, API key veya debug route çıkarılabilir.
• Deep link ve intent akışları kullanıcıyı hassas aksiyona yönlendirebilir.
• Fintech ve e-ticaret uygulamalarında ödeme, iade, kupon ve transfer akışları abuse açısından test edilir.
• Store review güvenlik testi değildir.
• Client tarafında yapılan kontrol server-side tekrar doğrulanmalıdır.
• Root/jailbreak tespiti tek başına mobil güvenlik sonucu değildir.

Kapsama Girmesi Gereken Alanlar

• Saldırgan uygulamayı indirir, parçalar, modifiye eder ve backend API ile doğrudan konuşur.
• Client güvenli görünse bile backend ownership kontrolü eksikse veri sızar.
• Token, refresh token, kişisel veri ve debug logları cihazda açık metin tutulmamalıdır.
• SSL pinning varlığı yeterli değildir; bypass sonrası backend davranışı da test edilir.
• Reverse engineering ile endpoint, feature flag, API key veya debug route çıkarılabilir.
• Deep link ve intent akışları kullanıcıyı hassas aksiyona yönlendirebilir.
• Fintech ve e-ticaret uygulamalarında ödeme, iade, kupon ve transfer akışları abuse açısından test edilir.
• Store review güvenlik testi değildir.
• Client tarafında yapılan kontrol server-side tekrar doğrulanmalıdır.
• Root/jailbreak tespiti tek başına mobil güvenlik sonucu değildir.

Yanlış Bilinenler

• Saldırgan uygulamayı indirir, parçalar, modifiye eder ve backend API ile doğrudan konuşur.
• Client güvenli görünse bile backend ownership kontrolü eksikse veri sızar.
• Token, refresh token, kişisel veri ve debug logları cihazda açık metin tutulmamalıdır.
• SSL pinning varlığı yeterli değildir; bypass sonrası backend davranışı da test edilir.
• Reverse engineering ile endpoint, feature flag, API key veya debug route çıkarılabilir.
• Deep link ve intent akışları kullanıcıyı hassas aksiyona yönlendirebilir.
• Fintech ve e-ticaret uygulamalarında ödeme, iade, kupon ve transfer akışları abuse açısından test edilir.
• Store review güvenlik testi değildir.
• Client tarafında yapılan kontrol server-side tekrar doğrulanmalıdır.
• Root/jailbreak tespiti tek başına mobil güvenlik sonucu değildir.

Mobil Pentest Checklist’i

• APK/IPA içinde hardcoded secret var mı?
• Token güvenli storage içinde mi?
• Logout sonrası token gerçekten geçersiz oluyor mu?
• SSL pinning bypass edilebiliyor mu?
• API object ownership kontrol ediyor mu?
• Deep link parametreleri doğrulanıyor mu?
• Debug build veya source map production’da açık mı?
• Fraud senaryoları backend tarafında izleniyor mu?

Karar Tablosu

| Alan | Ne Anlama Gelir? | Ne Yapılmalı? | | --- | --- | --- | | Görünür risk | Saldırganın ilk temas noktası | Envanter ve doğrulama yapılmalı | | Gizli risk | Varsayımlarda kalan zayıflık | Manuel analizle kanıt üretilmeli | | İş etkisi | Teknik bulgunun gerçek sonucu | Öncelik ve retest kriteri yazılmalı |

Pratik Örnek

Bir kurum mobil uygulama pentest konusunu yalnızca araç çıktısı olarak ele aldığında kritik bağı kaçırabilir. Gerçek risk, teknik zayıflığın hangi veriye, kullanıcıya, sisteme veya iş kararına dokunduğunda ortaya çıkar.

Bu nedenle iyi çalışma, sadece bulgu bulmakla kalmaz; bulgunun nasıl istismar edilebileceğini, hangi iş sonucuna yol açacağını ve hangi düzeltmeyle kapanacağını da gösterir.

Rapor Nasıl Olmalı?

• Saldırgan uygulamayı indirir, parçalar, modifiye eder ve backend API ile doğrudan konuşur.
• Client güvenli görünse bile backend ownership kontrolü eksikse veri sızar.
• Token, refresh token, kişisel veri ve debug logları cihazda açık metin tutulmamalıdır.
• SSL pinning varlığı yeterli değildir; bypass sonrası backend davranışı da test edilir.
• Reverse engineering ile endpoint, feature flag, API key veya debug route çıkarılabilir.
• Deep link ve intent akışları kullanıcıyı hassas aksiyona yönlendirebilir.
• Fintech ve e-ticaret uygulamalarında ödeme, iade, kupon ve transfer akışları abuse açısından test edilir.
• Store review güvenlik testi değildir.
• Client tarafında yapılan kontrol server-side tekrar doğrulanmalıdır.
• Root/jailbreak tespiti tek başına mobil güvenlik sonucu değildir.

Ne Zaman Profesyonel Destek Gerekir?

Sistem müşteri verisine, üretim ortamına, regülasyon kapsamına, finansal akışa veya kritik operasyonlara dokunuyorsa profesyonel destek gerekir. Kurum içinde güvenlik, ürün, hukuk ve mühendislik ekipleri aynı risk için farklı cevaplar veriyorsa bağımsız assessment süreci karar almayı hızlandırır.

Eresus Yaklaşımı

Eresus Security bulguları yalnızca başlık olarak raporlamaz. Her bulgu için tekrar üretilebilir kanıt, iş etkisi, önerilen düzeltme, sorumlu ekip ve retest koşulu yazılır.

Eresus Security, mobil uygulama pentest çalışmalarında Android/iOS client analizini backend API, oturum güvenliği, fraud senaryoları ve tersine mühendislik bulgularıyla birlikte değerlendirir. Release öncesi mobil risklerinizi net bir test planına çevirebiliriz.

Sık Sorulan Sorular

Bu konuda ilk adım nedir?

Önce kapsam ve varlıklar netleştirilmelidir. Hangi sistemlerin, hangi verilerin, hangi rollerin ve hangi iş akışlarının etkilendiği bilinmeden doğru test planı kurulamaz.

Otomatik araçlarla yapılabilir mi?

Araçlar başlangıç için yararlıdır, ancak yetki sınırı, iş mantığı, güvenlik varsayımı ve operasyonel etki manuel analiz gerektirir.

Rapor nasıl aksiyona dönüşür?

Her bulgu için sahip, öncelik, önerilen düzeltme ve retest kriteri yazılır. Böylece rapor okunup arşivlenen bir belge değil, uygulanabilir güvenlik backlog’u olur.

Eresus bu konuda nasıl destek olur?

Eresus Security kapsam çıkarma, teknik test, kanıt üretimi, remediation danışmanlığı ve retest aşamalarını tek çalışma akışında destekler.

• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
• mobil uygulama pentest değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.