EresusSecurity
Araştırmalara Dön
Rehber

Sızma Testi Fiyatları 2026: Maliyetleri Ne Belirler ve Gerçekçi Bir Bütçe Nasıl Çıkarılır?

Mustafa DemircanJunior Sızma Testi Uzmanı
5 Nisan 2026
7 dk okuma

Şirketiniz için bir güvenlik denetimi yaptırmaya karar verdiğinizde, farklı firmalardan aldığınız fiyat tekliflerinin arasında uçurumlar olduğunu fark edebilirsiniz. Bir firma aynı iş için 1.500$ isterken, bir diğeri 15.000$ teklif edebilir. "Fiyatı bu kadar değiştiren şey nedir? Ucuz olanı seçsem risk mi alırım?"

Temel Değerlendirme: Sızma testi (pentest) fiyatlarını üç ana faktör belirler: Testin kapsamı (IP adresi/sayfa/fonksiyon sayısı), testin türü (Black/White/Grey Box) ve testi yapacak uzmanın kalibresi. Sadece otomatik bir scanner (Zafiyet Tarama) çalıştırıp PDF çıktısı veren firmalar çok ucuza hizmet sunabilirken; yapay zeka destekli otonom analizleri ve kıdemli insan zekasını birleştiren manuel pentest hizmetleri ciddi mesai gerektirdiğinden katma değerine göre fiyatlanır. Ucuz analizler genellikle göz boyamadan ibarettir ve gerçek dünya senaryolarındaki kompleks iş mantığı zafiyetlerini (Business Logic Flaws) göremez.

Bu rehberde, sızma testi fiyatlandırma dinamiklerini tüm şeffaflığıyla açığa çıkarıyor ve 2026 yılı için şirketinizin bütçesini nasıl planlamanız gerektiğini adım adım inceliyoruz.

1. Pentest Tekliflerindeki Fiyat Uçurumunun Nedeni: Tarama vs. Sızma Testi

Aldığınız teklifleri değerlendirirken yapmanız gereken ilk şey, satın aldığınız hizmetin gerçekte ne olduğunu anlamaktır. Sektördeki en büyük yanlış anlaşılma, Zafiyet Taraması (Vulnerability Scanning) ile Sızma Testinin (Penetration Testing) aynı şey sanılmasıdır.

  • Zafiyet Taraması (Çok Ucuz): Sadece otomatik bir yazılımın sisteminize bağlanıp versiyon numaralarında bir eksiklik olup olmadığını kontrol etmesidir. İş mantığınızı anlamaz, 15 dakikada biter, yüzlerce sayfalık içi boş bir PDF üretir.
  • Gerçek Sızma Testi (Orta/Yüksek Fiyatlı): Lisanslı, sertifikalı ve deneyimli bir uzman veya yapay zeka ajanlarıyla desteklenmiş bir ekip; sisteminizin "parolamı unuttum" senaryosundan tutun, "X kişisi Y kişisinin faturasını görebilir mi?" sorusuna kadar kompleks mimariyi tersine mühendislikle test eder. Hata bulduğu an onunla yetinmez, yetki yükselterek (Privilege Escalation) sisteme ne kadar sızabileceğini kanıtlar.

Uzman Görüşü: "Piyasada size 500 dolara pentest yaptığını söyleyen kişi, muhtemelen Nessus veya Acunetix gibi bir lisanslı aracı otonom olarak çalıştırıp size raporu kopyala-yapıştır yapacaktır. Siber güvenlikte bedavaya yakın olan her hizmette, karanlıkta kalan kritik bir zafiyet mutlaka vardır."

2. 2026 Yılında Sızma Testi Fiyatlarını Belirleyen Temel Unsurlar

Gerçek bir siber güvenlik firmasından teklif istediğinizde, size şu metrikleri soracaklardır. Bu metrikler olmadan verilen her fiyat "körleme" bir tahmindir.

A. Sistemin Büyüklüğü (Kapsam)

En kritik maliyet kalemidir.

  • Web Uygulamaları için: Kullanıcı türü (Admin, Müşteri, Editör vb.) sayısı, form (input) sayısı, sayfa sayısı ve API uç noktaları.
  • Ağ (Network) Pentesti için: Kaç adet sunucunun (IP adresi) taranacağı ve iç ağ (Internal) mı yoksa dış ağ (External) mı test edileceği.
  • Mobil Uygulamalar: Kaç farklı platform (iOS, Android) için test isteneceği.

B. Yaklaşım Türü (Black Box, Grey Box, White Box)

  • Black Box (Kara Kutu): Hackera hiçbir bilgi verilmez (şifre vs). Tester dışarıdan bir saldırgan gibi davranır. Yalnız saldırı yüzeyi geniş olduğu için uzun sürer ve tespiti zorlaşır. (Zaman maliyeti yüksek)
  • Grey Box (Gri Kutu): Müşteri yetkileri verilir. İçeriden bir kullanıcı hesabıyla sistemin manipüle edilip edilemediği test edilir (Endüstri standartlarında en çok tercih edilen fiyata/performans yöntemidir).
  • White Box (Beyaz Kutu): Kaynak kodlarının bile incelendiği, en pahalı ve zaman alan, ancak en güvenilir denetim türüdür.

3. Tahmini Maliyet Tablosu: Hangi Test Ortalama Ne Kadar Tutar?

Global endüstri standartları ve Türkiye/Avrupa pazarındaki genel dengelere bakıldığında, 2026 yılında kaliteli bir sızma testi için karşılaşabileceğiniz yaklaşık bütçeler şu şekildedir (Not: Veriler proje boyutuna göre büyük farklılık gösterebilir):

| Test Hizmeti Türü | Kapsam Tanımı | Ortalama Efor / Süre | Karşılaşılan Fiyat Aralığı | | :--- | :--- | :--- | :--- | | Zafiyet Taraması | Yalnızca otomatik araç raporu. Özel iş mantığı incelenmez. | 1 - 2 Gün | Çok Düşük | | Küçük Web Pentesti | Kurumsal web sitesi, 1-2 basit form veya çok basit portallar. | 3 - 5 Gün | Düşük - Orta | | E-Ticaret / SaaS (Grey Box) | Çoklu kullanıcı yetkisi (Admin/Müşteri), API entegrasyonları, ödeme sistemleri. | 1 - 3 Hafta | Orta - Yüksek | | Mobil Uygulama (iOS/Android) | Root/Jailbreak tespiti, tersine mühendislik, API iletişimi. | 1 - 2 Hafta | Orta - Yüksek | | İç Ağ (Internal Network) Testi | Şirket içi Active Directory yapısı, 50-100 PC ağ segmentasyonu. | 2 - 3 Hafta | Yüksek | | Red Teaming (Geniş Kapsamlı) | Çalışanlara phishing, fiziksel sızma girişimi, tespit cihazlarını atlatma. | 1 - 3 Ay | En Yüksek |

4. Gerçek Bir Vaka Analizi: Yanlış Tasarrufun Ağır Bedeli

Geçtiğimiz yıl karşılaştığımız bir senaryoyu ele alalım. Orta ölçekli bir lojistik şirketi, her yıl düzenli olarak bir x firmasından "Pentest" hizmeti alıyordu. Fiyatı oldukça uygun olduğu için yönetimi cezbediyordu. Ancak testler tamamen Otomatik tarayıcılara aitti.

Uygulamanın içindeki "Kargo İptal" butonunda yer alan IDOR (BOLA) zafiyeti hiçbir zaman tespit edilememişti; zira yazılımlar "5 nolu kargoyu iptal eden kullanıcının, bu butonda rakamı 6 yaparak başkasının kargosunu iptal edip edemeyeceğini" deneyemez.

Bir ay sonra siber zorbalar bu mantık açığını istismar edip milyonlarca liralık zarara ve prestij kaybına yok açtı. Ucuz sanılan 3.000$’lık tasarruf, şirkete yasal ve ticari yük olarak yüz binlerce dolara mal oldu.

5. Eresus Security Yaklaşımı: Kalite, Hız ve ROI (Yatırım Getirisi)

Kaliteli bir güvenlik denetimi maliyet değil, en güçlü sigorta poliçenizdir. Eresus Security olarak, yalnızca insan zekasına dayalı ve aylarca süren hantal raporlama süreçlerini bir kenara bırakıyoruz.

Global standartlara uymakla kalmayıp, kendi geliştirdiğimiz Yapay Zeka Destekli (Agentic) Ofansif Mimari sayesinde:

  1. İşi Hızlandırırız: Ortalama test sürelerini ve dolayısıyla proje adam-saat maliyetlerini, teknolojik otonomi ile optimize ederiz.
  2. Derinleşiriz: Rutin işleri ajanlara bırakarak, Senior (kıdemli) mühendislerimizle sizin "Business Logic" yani karmaşık finansal ve iş akışı senaryolarınızı kırıp dökmeye odaklanırız.
  3. Maliyet Avantajı Sunarız: Otonom yetenekler, en kaliteli Red Teaming ve Grey Box yeteneklerini daha erişilebilir bütçelerle masanıza getirir.

Şirketinizin kapsamına özel, sürprizleri olmayan ve doğrudan siber dayanıklılığınızı artıracak şeffaf bir fiyatlama politikası arıyorsanız; Eresus Security ile güvendesiniz.

Kurumunuza özel sızma testi bütçesini hesaplamak, altyapınızın kapsam analizini "ücretsiz" olarak çıkarmak için şimdi teklif isteyin.

Operasyonel İnceleme Checklisti

  • Kritik iş akışları kapsamda mı?
  • Admin paneli ve destek rolü test ediliyor mu?
  • Scanner çıktısı manuel doğrulandı mı?
  • Business logic senaryosu yazıldı mı?
  • Dosya yükleme ve indirme akışları incelendi mi?
  • Kimlik doğrulama ve session kontrolleri test edildi mi?
  • Yetki yükseltme zinciri denendi mi?
  • WAF varlığı manuel testi daraltmıyor mu?
  • Rapor bulguları remediation sırasına göre ayrıldı mı?
  • Retest tarihi ve kabul kriteri belli mi?
  • Kapsam net yazıldı mı?
  • Etkilenen varlık sahibi belli mi?
  • Test ortamı production etkisinden ayrıldı mı?
  • Kullanıcı rolleri doğru temsil ediliyor mu?
  • Hassas veri sınıfı tanımlandı mı?
  • Yetki sınırı teknik olarak doğrulandı mı?
  • Log kaynağı ve saklama süresi belli mi?
  • Bulgu tekrar üretilebilir kanıtla destekleniyor mu?
  • İş etkisi teknik etkiden ayrı açıklandı mı?
  • Düzeltme sahibi belirlendi mi?
  • Retest kriteri yazıldı mı?
  • Benzer risklerin nerelerde tekrar edebileceği kontrol edildi mi?
  • Monitoring veya alert tarafında görünürlük var mı?
  • Olay müdahale adımı gerekiyorsa planlandı mı?
  • Yönetim özeti teknik jargona boğulmadan hazırlanabilir mi?

Sonraki Teknik Adım

Bu checklist tamamlandıktan sonra bulgular önem sırasına göre backlog’a taşınmalı, kritik riskler için retest planı çıkarılmalı ve ilgili servis/hub sayfasına iç bağlantı verilmelidir. Eresus Security bu aşamada kapsam netleştirme, kanıt üretme ve remediation önceliklendirme konusunda teknik ekiplerle birlikte çalışır.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

Güvenlik Doğrulaması

Bu riski kendi sisteminizde test ettirdiniz mi?

Eresus Security; sızma testi, AI ajan güvenliği ve kırmızı takım operasyonlarıyla gerçek istismar kanıtı üretir.

Pilot test talep et