EresusSecurity
Araştırmalara Dön
Metodoloji

Otomatik Zafiyet Taraması vs. Manuel Sızma Testi: Hangisi Gereklidir?

Mustafa DemircanJunior Sızma Testi Uzmanı
1 Nisan 2026
Güncellendi: 27 Nisan 2026
6 dk okuma

Şirketiniz için siber güvenlik yatırımına karar verirken IT ekiplerinin veya yönetim kurullarının masasında genelde şu tartışma başlar: "Binlerce dolara manuel sızma testi yaptırmak yerine, lisanslı ve otomatik bir güvenlik tarama aracı kullansak olmaz mı?"

Temel Değerlendirme: Olmaz. Otomatik zafiyet tarayıcılar (scanner), sistemlerde halihazırda bilinen, sözlük tabanlı ve yapısal güvenlik açıklarını (örneğin güncellenmemiş bir yazılım sürümünü) dakikalar içinde tespit eder. Ancak manuel sızma testleri, insan zekasının ve iş mantığının devreye girdiği noktalarda çalışır; araçların algılayamayacağı yetki yükseltme veya ödeme sistemini manipüle etme gibi karmaşık senaryoları "hacker gibi düşünerek" açığa çıkarır. Eksiksiz bir güvenlik için otomasyon günlük rutin olmalı, manuel ve yapay zeka destekli sızma testleri ise yapısal bir denetim olarak konumlanmalıdır.

Peki pratikte bu iki yöntem birbirinin rakibi mi, yoksa tamamlayıcısı mı? Gelin, teknik karmaşadan uzak, gerçek dünya senaryolarıyla bu iki sürecin yerini anlatalım.

1. Otomatik Zafiyet Tarama Nedir, Ne Değildir?

Otomatik zafiyet tarama araçları, sistemlere saniyeler içinde binlerce istek gönderen, veri tabanında bilinen tüm riskleri kodlarınız ve sunucunuz üzerinde kontrol eden yazılımlardır.

  • Ne Yapar? Sisteminizi dışarıdan (veya içeriden) tarar; eski bir SSL sertifikasını, yama yapılmamış bir Apache sunucusunu veya bilinen basit XSS açıklarını yakalar.
  • Ne Yapamaz? "Parolamı unuttum" adımında oluşan mantıksal bir hatayı anlayıp, o hatayı kullanarak başkasının hesabına giriş yapabileceğini kavrayamaz.

Otomatik Taramanın Mükemmel Olduğu Yerler:

  • Hız ve Kapsam: Yüzlerce sunucusu olan şirketler için anlık yapılandırma hatalarını bulmada harikadır.
  • Sürekli Entegrasyon (DevSecOps): Geliştiriciniz bir kod paylaştığında, kod canlıya alınmadan önce bir zafiyet taşıyıp taşımadığını anında haber verir.

Uzman Görüşü: "Sürekli zafiyet tarama aracına sahip olmak, evin tüm otomatik kilitlerinin kapalı olduğunu her gün kontrol etmektir. Ancak bu, hırsızın arka bahçeden kazı yaparak gelemeyeceğinin garantisini vermez."

2. Manuel Sızma Testi (Pentest) Neden Hala Zirvede?

Manuel sızma testi (penetrasyon testi), lisanslı beyaz şapkalı hacker'ların (Ethical Hackers), sisteminize kötü niyetli bir saldırgan gözüyle saldırması ve zafiyet zincirini kırması eylemidir.

Klasik bir otomatik tarama yazılımı, 3 farklı küçük açığı bulup raporda onlara "Düşük Risk" olarak etiket vurabilir. Ancak tecrübeli bir manuel test uzmanı, o 3 düşük riskli bulguyu arka arkaya bağlar ve sistemde tam yönetici yetkisi elde edecek bir felaket senaryosu (Kritik Risk) yaratabilir.

Manuel Sızma Testiyle Bulunan "Araçların Göremediği" Gerçek Açıklar

  • Yetki Aşımı (Privilege Escalation): Normal bir müşteri hesabı ile girip, tarayıcı arka planındaki bir tokenı değiştirerek "Admin" ekranına ulaşabilmek.
  • İş Mantığı Hataları (Business Logic Flaws): Sepete eksi miktarda (-5) ürün ekleyerek fiyat hesabını eksi bakiyeye düşürmek ve sistemi kandırmak. Otomatik araçlar bunu asla yakalayamaz, çünkü araçlar uygulamanızın sepet kurallarını ve finansal mantığını bilmezler.

3. Karşılaştırma Tablosu: Araçlar vs İnsan Zekası

Yönetime sunum yaparken veya bütçe kararı alırken aşağıdaki net farklılıkları kullanabilirsiniz:

| Özellik | Otomatik Zafiyet Tarama (Scanner) | Manuel Sızma Testi (Pentest) | | :--- | :--- | :--- | | Maliyet | Sürekli (Abonelik) - Daha Düşük/Orta | Tek Seferlik veya Yıllık - Daha Yüksek | | Tarama Süresi | Dakikalar / Saatler | 1 ile 3 Hafta Arası | | Ölçeklenebilirlik | Sonsuz ölçeklenir, binlerce IP taranabilir | Uzman personelin emeğiyle sınırlıdır | | Hatalı Alarm Oranı | Yüksektir (False Positives çoktur) | Neredeyse sıfırdır, uzman doğrular | | Bulunan Açık Türü | Yapısal hatalar, versiyon/yama eksikleri | Mantıksal açıklar, tasarım/mimari hataları | | Derinlik | Yüzeyde tarar | Zincirleme ataklarla dip derinliğe iner |

4. Modern Dönemin Kazananı: Yapay Zeka Tabanlı (Agentic) Sızma Testleri

Peki ya insan zekasının analitik kapasitesini, makinelerin sonsuz işlem gücü ve hızıyla birleştirseydik? Günümüzde sektörü domine eden asıl şey bu melez (hibrit) modeldir: Siber Güvenlik Ajanları.

Eresus Security gibi gelişmiş, yapay zeka (LLM tabanlı ajan) kullanan mimariler, otomatik "scan" yapmanın ötesine geçerek şu soruyu sorarlar: "Burada bir giriş formu var, sistemin yapısından öğrendiğim kadarıyla ben bu alanı farklı bir query ile atlatabilirim." Bu yaklaşım, sadece eski usül otomatik araçların rapor kirliliğini engellemekle kalmaz; manuel sızma testi yapan uzman ekiplerinin günler süren tarama aşamasını yapay zeka ile otomatik başararak doğrudan en derin zafiyetleri göz önüne çıkarır.

5. Şirketiniz Hangi Yöntemi Seçmeli?

Güvenlik riskiniz birbiri yerine geçen iki araçtan birini seçmekle bitmez. İkisinin doğru bir şekilde yan yana kullanılması gerekir.

  1. Eğer hiçbir test aracınız yoksa, öncelikle sürekli kod taraması yapacak otomatik sızma/zafiyet test mekanizması (SAST/DAST) kurarak başlayın. Kapı pencere açıkken, karmaşık iş mantığı testine giremezsiniz.
  2. Web ve Mobil uygulamanızın büyük her sürüm çıkışından önce veya yasal KVKK/GDPR uyum zorunlulukları nedeniyle yılda en az bir kez manuel bir pentest (sızma testi) almalısınız.
  3. Otomasyonla uğraşırken sahte alarmlarla yorulmak istemiyorsanız, yapay zeka destekli otonom sızma tester ajanı altyapılarını inceleyin.

Sızma testi yaptırmak veya otomatize güvenlik açıklarını tarayıp raporlayan ürünler hakkında detaylı çözüm mu arıyorsunuz? Geleceğin tehditlerine eski yöntemlerle karşılık vermeyin. Profesyonellerle konuşun ve Eresus Security’nin yapay zeka tabanlı analizlerini değerlendirin.

SSS

Scanner raporu bu kontrolün yerine geçer mi?

Hayır. Scanner bilinen zafiyet desenlerini yakalar; fakat iş mantığı, yetki sınırı, zincirleme etki ve gerçek istismar kanıtı manuel testle doğrulanır.

Kapsam çıkarırken en sık yapılan hata nedir?

Sadece URL listesi vermek. Sağlıklı kapsam roller, kritik iş akışları, veri tipleri, entegrasyonlar, admin panelleri, test hesapları ve hariç varlıklarla birlikte çıkarılmalıdır.

Ne zaman profesyonel destek gerekir?

Uygulama müşteri verisi, ödeme, kimlik, admin işlemleri veya çok kiracılı yapı içeriyorsa profesyonel pentest gerekir. Bu alanlarda küçük bir yetki hatası büyük iş etkisi doğurabilir.

Operasyonel İnceleme Checklisti

  • Kritik iş akışları kapsamda mı?
  • Admin paneli ve destek rolü test ediliyor mu?
  • Scanner çıktısı manuel doğrulandı mı?
  • Business logic senaryosu yazıldı mı?
  • Dosya yükleme ve indirme akışları incelendi mi?
  • Kimlik doğrulama ve session kontrolleri test edildi mi?
  • Yetki yükseltme zinciri denendi mi?
  • WAF varlığı manuel testi daraltmıyor mu?
  • Rapor bulguları remediation sırasına göre ayrıldı mı?
  • Retest tarihi ve kabul kriteri belli mi?
  • Kapsam net yazıldı mı?
  • Etkilenen varlık sahibi belli mi?
  • Test ortamı production etkisinden ayrıldı mı?
  • Kullanıcı rolleri doğru temsil ediliyor mu?
  • Hassas veri sınıfı tanımlandı mı?
  • Yetki sınırı teknik olarak doğrulandı mı?
  • Log kaynağı ve saklama süresi belli mi?
  • Bulgu tekrar üretilebilir kanıtla destekleniyor mu?
  • İş etkisi teknik etkiden ayrı açıklandı mı?
  • Düzeltme sahibi belirlendi mi?
  • Retest kriteri yazıldı mı?
  • Benzer risklerin nerelerde tekrar edebileceği kontrol edildi mi?
  • Monitoring veya alert tarafında görünürlük var mı?
  • Olay müdahale adımı gerekiyorsa planlandı mı?
  • Yönetim özeti teknik jargona boğulmadan hazırlanabilir mi?

Sonraki Teknik Adım

Bu checklist tamamlandıktan sonra bulgular önem sırasına göre backlog’a taşınmalı, kritik riskler için retest planı çıkarılmalı ve ilgili servis/hub sayfasına iç bağlantı verilmelidir. Eresus Security bu aşamada kapsam netleştirme, kanıt üretme ve remediation önceliklendirme konusunda teknik ekiplerle birlikte çalışır.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

Güvenlik Doğrulaması

Bu riski kendi sisteminizde test ettirdiniz mi?

Eresus Security; sızma testi, AI ajan güvenliği ve kırmızı takım operasyonlarıyla gerçek istismar kanıtı üretir.

Pilot test talep et

İlgili Araştırmalar

Web Security

Scanner Raporu Pentest Yerine Geçer mi?

Otomatik zafiyet tarama raporu ile manuel pentest arasındaki farkı, kanıt, iş etkisi ve kapsam açısından açıklıyoruz.

Web Security

Web Pentest Kapsamı Nasıl Çıkarılır?

Web uygulama pentest kapsamını asset sayısı yerine riskli iş akışları, roller, veriler ve entegrasyonlar üzerinden nasıl planlayacağınızı anlatıyoruz.

Red Team

Red Team ile Pentest Arasındaki Fark

Red team ve pentest aynı şey değildir; amaç, kapsam, yöntem, çıktı ve iş değeri açısından hangi durumda hangisi gerekir?