Bir Siber Güvenlik Firmasının Sitesinde 13 Zafiyet Bulduk
Siber güvenlik hizmeti sunan bir firmanın web sitesini pasif keşif ile inceledik. 13 zafiyet tespit ettik. Penetrasyon testi iddiası, dizin listeleme açığı, varsayılan admin hesabı ve sıfır güvenlik başlığı. Kendi kalesini koruyamayan, sizinkini koruyabilir mi?
Siber güvenlik hizmeti sunan bir firmanın web sitesini pasif keşif ile inceledik. 13 zafiyet tespit ettik. Penetrasyon testi iddiası, dizin listeleme açığı, varsayılan admin hesabı ve sıfır güvenlik başlığı. Kendi kalesini koruyamayan, sizinkini koruyabilir mi?
İçindekiler ▾
- Yöntem: Pasif Keşif (OSINT)
- Bulgular: 13 Zafiyet
- 1. Dizin Listeleme Açık — Yüksek
- 2. Kullanıcı Numaralandırma (REST API) — Yüksek
- 3. Varsayılan Admin Kullanıcı Adı — Yüksek
- 4. Eklenti Bilgi Sızıntısı — Yüksek
- 5. WordPress Sürümü İfşa — Orta
- 6. Güvenlik Başlıkları: 0/7 — Orta
- 7. Login Sayfası Açık — Orta
- 8. Gravatar Hash İfşası — Orta
- 9. Cookie Güvenlik Eksikliği — Orta
- 10. SSL Sertifika Yapılandırması — Düşük
- 11. Sürüm Bilgisi Sızıntısı (CSS/JS) — Düşük
- 12. Autoindex Modülü Aktif — Düşük
- 13. SEO Eklentisi İfşası — Düşük
- Karşılaştırma: Aynı Testi Kendimize Uyguladık
- Neden Bu Kadar Önemli?
- Siber Güvenlik Firması Seçerken Kontrol Listesi
- Sonuç
- İlgili İçerikler
Özet: Siber güvenlik hizmeti sunan bir firmanın web sitesini tamamen pasif yöntemlerle inceledik. 13 zafiyet bulduk — dizin listeleme açık, admin hesabı ifşa, güvenlik başlıkları sıfır. “Penetrasyon testi yapıyoruz” iddiasıyla faaliyet gösteren bu firmanın kendi sitesi, temel bir güvenlik kontrolünden geçemiyor. Aynı testleri kendi sitemize uyguladığımızda sonuç: 0 zafiyet.
Bir siber güvenlik firmasının web sitesini açtığınızda ne beklersiniz?
Sağlam bir altyapı. Güncel teknoloji. Temel güvenlik standartlarının eksiksiz uygulanması. En azından kendi kapısının kilitli olması.
Biz de öyle bekliyorduk.
Siber güvenlik sektöründe “kale” metaforunu kullanan, kendini sağlam bir kale gibi konumlandıran firmalar az değil. Peki kale gerçekten sağlam mı? Sektörde faaliyet gösteren bir firmayı rutin tarama sırasında incelemeye aldık. Yöntemimiz tamamen pasif — herhangi bir sisteme giriş denemesi yok, saldırı yok, exploit yok. Sadece herkesin erişebildiği kamuya açık bilgiler. Bir tarayıcı ve birkaç komut satırı.
Sonuç bizi şaşırttı.
Yöntem: Pasif Keşif (OSINT)
Testimizde şu araçları kullandık:
- HTTP başlık analizi —
curl -Iile yanıt başlıkları - DNS sorguları —
digile kayıt kontrolü - WordPress REST API — Kamuya açık uç noktalar
- SSL sertifika kontrolü —
openssl s_client - Dizin erişim kontrolü — Doğrudan URL ziyareti
Hiçbir aşamada hedef sisteme zarar verecek, yük bindirecek veya yetkisiz erişim sağlayacak bir işlem yapılmadı. Tüm veriler, herhangi bir internet kullanıcısının tarayıcısıyla elde edebileceği bilgilerdir.
Bulgular: 13 Zafiyet
1. Dizin Listeleme Açık — Yüksek
Sunucu, dizin içeriğini doğrudan listeliyor. /wp-content/uploads/ adresine giren herkes yüklenen tüm dosyaları görebilir.
Sadece uploads değil — eklenti dizini, tema dizini ve alt klasörler de açık.
OWASP: A01:2021 — Broken Access Control
Bir siber güvenlik firmasının sunucusunda dizin listelemenin açık olması, evin kapısını ardına kadar açık bırakıp güvenlik danışmanlığı yapmaya benzer.
2. Kullanıcı Numaralandırma (REST API) — Yüksek
WordPress REST API üzerinden kullanıcı bilgileri tamamen açık:
GET /wp-json/wp/v2/usersBu tek istek şunları döndürüyor:
- Kullanıcı adı:
admin - Kullanıcı ID:
1 - Profil URL’si
- Gravatar hash değeri
Saldırgan artık kimi hedef alacağını biliyor.
OWASP: A01:2021 — Broken Access Control
3. Varsayılan Admin Kullanıcı Adı — Yüksek
Yönetici hesabı için admin kullanıcı adı kullanılıyor. Bu, WordPress kurulumunda varsayılan olarak gelen ve ilk iş değiştirilmesi gereken kullanıcı adıdır.
Otomatik brute-force araçları (WPScan, Hydra) ilk olarak admin kullanıcı adını dener. Saldırganın işinin yarısı baştan yapılmış durumda.
“Penetrasyon testi yapıyoruz” diyen bir firma, kendi admin hesabında varsayılan kullanıcı adını kullanıyor. Bu cümlenin ironisini bir saniye düşünün.
4. Eklenti Bilgi Sızıntısı — Yüksek
Eklentilerin readme.txt dosyaları doğrudan erişime açık. Her dosyada eklenti adı, sürümü ve desteklenen WordPress sürümü yazıyor.
| Eklenti | Sürüm | Test Edildiği WP |
|---|---|---|
| LoftLoader | 2.5.1 | 6.6 |
| Page Scroll to ID | 1.7.9 | 6.8 |
Bu bilgi, CVE veritabanlarında sürüme özel açık araması yapmak için yeterli.
OWASP: A05:2021 — Security Misconfiguration
5. WordPress Sürümü İfşa — Orta
WordPress sürümü üç ayrı noktadan okunabiliyor:
- HTML meta etiketi:
<meta name="generator" content="WordPress 6.9.4"> - RSS beslemesi:
<generator>...?v=6.9.4</generator> - Statik dosya parametreleri:
ver=6.9.4
Ek olarak: Site Kit by Google 1.175.0 eklentisi de meta etiketinde görünüyor.
Saldırgana teknoloji haritası sunulmak — hedefli saldırıyı kolaylaştırmak demek.
6. Güvenlik Başlıkları: 0/7 — Orta
HTTP yanıt başlıklarında kritik güvenlik başlıklarının hiçbiri bulunmuyor:
| Başlık | Durum | Koruduğu Tehdit |
|---|---|---|
| Content-Security-Policy | YOK | XSS, veri enjeksiyonu |
| Strict-Transport-Security | YOK | SSL downgrade |
| X-Frame-Options | YOK | Clickjacking |
| X-Content-Type-Options | YOK | MIME-type sniffing |
| Referrer-Policy | YOK | Bilgi sızıntısı |
| Permissions-Policy | YOK | Tarayıcı API suistimali |
| X-XSS-Protection | YOK | Eski tarayıcılarda XSS |
7 başlıktan 0’ı mevcut.
İlginç olan şu: wp-login.php sayfasında X-Frame-Options ve CSP var. Yani birisi yarım yamalak bir yapılandırma yapmış, ama halkın gördüğü sayfalarda uygulamayı unutmuş.
OWASP: A05:2021 — Security Misconfiguration
7. Login Sayfası Açık — Orta
wp-login.php herhangi bir kısıtlama olmadan erişilebilir durumda:
- Rate limiting yok
- CAPTCHA yok
- IP kısıtlaması yok
- İki faktörlü doğrulama varlığı doğrulanamadı
Kullanıcı adı zaten biliniyor (bulgu #2 ve #3). Geriye sadece şifreyi denemek kalıyor.
8. Gravatar Hash İfşası — Orta
Admin kullanıcısının Gravatar hash değeri REST API yanıtında açıkça görünüyor. Bu hash, SHA-256 ile oluşturulmuş e-posta adresinin özetidir.
Rainbow table servisleri veya hash lookup araçlarıyla e-posta adresi tespit edilebilir. E-posta adresi ele geçirildiğinde: phishing, social engineering ve parola sıfırlama saldırıları kapıda.
9. Cookie Güvenlik Eksikliği — Orta
wordpress_test_cookie için SameSite özelliği ayarlanmamış. Secure ve HttpOnly bayrakları mevcut, ancak SameSite=Strict veya Lax eksik.
Bu, CSRF saldırılarına karşı ek bir koruma katmanının eksik olduğu anlamına gelir.
10. SSL Sertifika Yapılandırması — Düşük
- Sağlayıcı: Google Trust Services (ücretsiz)
- Geçerlilik: 90 gün (otomatik yenileme)
- Tür: DV (Domain Validation) — en düşük doğrulama seviyesi
Bir siber güvenlik firmasından OV (Organization Validation) veya EV (Extended Validation) sertifikası beklenir. DV sertifikası kurumsal güvenilirlik açısından en zayıf sinyaldir.
11. Sürüm Bilgisi Sızıntısı (CSS/JS) — Düşük
Statik dosyalarda sürüm parametreleri açık:
| Kaynak | Sürüm |
|---|---|
| WordPress Core | 6.9.4 |
| Astra Theme | 4.11.1 |
| Page Scroll to ID | 1.7.9 |
| Site Kit by Google | 1.175.0 |
Her sürüm numarası, CVE veritabanında bir arama anahtarı.
12. Autoindex Modülü Aktif — Düşük
Origin sunucuda autoindex modülü açık. Cloudflare arkasında olmasına rağmen, dizin isteklerinde dosya listesi döndürülüyor. Bu, web sunucusu yapılandırmasında temel bir eksiklik.
13. SEO Eklentisi İfşası — Düşük
Sitemap XML dosyasında yorum satırı olarak eklenti bilgisi görünüyor:
<!-- XML Sitemap generated by Rank Math SEO Plugin -->Tek başına düşük risk. Ancak diğer bulgularla birleştiğinde saldırganın teknoloji haritasını tamamlıyor.
Karşılaştırma: Aynı Testi Kendimize Uyguladık
İddia etmek kolay. Kanıtlamak zor. Aynı pasif keşif yöntemini kendi altyapımıza uyguladık:
| Kriter | İncelenen Firma | SiberKale |
|---|---|---|
| Güvenlik başlıkları | 0/7 | 7/7 |
| Kullanıcı ifşası | admin açık | Yok (statik site) |
| Dizin listeleme | Açık | Kapalı (403/404) |
| CMS türü | WordPress (dinamik) | Astro (statik — saldırı yüzeyi yok) |
| SPF politikası | Bilinmiyor | -all (hardfail) |
| DMARC politikası | Bilinmiyor | reject |
| DKIM | Bilinmiyor | RSA 2048-bit |
| SSL | DV (ücretsiz) | Let’s Encrypt + HSTS preload |
| wp-login.php | Açık | Yok (veritabanı yok) |
| REST API ifşa | Açık | Yok (API yok) |
Farkı siz belirleyin.
Neden Bu Kadar Önemli?
Verizon’un 2024 DBIR raporuna göre veri ihlallerinin %68’i insan hatası veya yanlış yapılandırmadan kaynaklanıyor. Bu yazıdaki 13 bulgunun tamamı yapılandırma hatası.
Bir siber güvenlik firması bu hataları bilmeli. Tespit etmeli. Ve en başta kendi sisteminde düzeltmiş olmalı.
Kendi kalesini koruyamayan, sizinkini koruyamaz.
Siber Güvenlik Firması Seçerken Kontrol Listesi
Herhangi bir firmadan hizmet almadan önce şu kontrolleri yapın:
- Firmanın web sitesini securityheaders.com ile tarayın. A veya B altında not alıyorsa dikkatli olun.
/wp-json/wp/v2/usersadresini deneyin. Kullanıcı bilgisi döndürüyorsa temel sertleştirme yapılmamış demektir.- SSL sertifika türünü kontrol edin. DV yeterli değil — OV veya EV beklenmeli.
- SPF, DKIM ve DMARC kayıtlarını sorgulayın. MX Toolbox ile 30 saniyede sonuç alırsınız.
- Dizin erişimi deneyin.
/wp-content/uploads/açıksa, sunucu yapılandırması ihmal edilmiş demektir.
Bu beş kontrolün her birinde başarısız olan bir firma, sizin sisteminizi koruyabileceğini iddia edemez.
Sonuç
Bu yazı bir saldırı değil, bir gözlem. Tüm veriler kamuya açık kaynaklardan elde edildi. Hiçbir sisteme yetkisiz erişim sağlanmadı.
Amacımız basit: siber güvenlik hizmeti almak isteyen kurum ve şirketlerin bilinçli tercih yapmasını sağlamak. Bir firmanın sizi koruyup koruyamayacağını anlamanın en kolay yolu, kendi kendini ne kadar koruduğuna bakmaktır.
13 zafiyet barındıran bir web sitesi, teknik yetkinlik hakkında çok şey söyler.
Siber güvenliğinizi ciddiye alıyorsanız — önce firmanızı kontrol edin. Sonra firmanızı seçin.
İlgili İçerikler
- KOBİ Siber Güvenlik Kontrol Listesi 2026 — İlk 24 saat ve ötesi
- Şirket Ağınız Saldırıya Açık mı? — Firewall kontrol listesi
- Phishing Saldırısı Nasıl Anlaşılır? — 7 kontrol noktası
- Siber Güvenlik Hizmetlerimiz — Penetrasyon testi, zafiyet taraması, güvenlik denetimi
Kendi web sitenizin güvenlik durumunu öğrenmek ister misiniz? İletişime geçin — ücretsiz ön değerlendirme yapıyoruz.
Kaynaklar
- Broken Access Control, web uygulama güvenlik risklerinde 1 numaralı kategori — OWASP Top 10 (2021)
- Security Misconfiguration, OWASP Top 10 listesinde 5. sırada — OWASP Top 10 (2021)
- Veri ihlallerinin %68'i insan hatası veya yanlış yapılandırmadan kaynaklanıyor — Verizon Data Breach Investigations Report (2024)
Sıkça Sorulan Sorular
Pasif keşif (OSINT) yasal mı? +
Evet. Pasif keşif, kamuya açık bilgilerin toplanmasıdır. Hedef sisteme herhangi bir müdahale, giriş denemesi veya yük gönderimi yapılmaz. Tarayıcınızla bir web sitesini ziyaret etmek, DNS kaydını sorgulamak veya HTTP başlıklarını okumak herkesin yapabileceği işlemlerdir.
Bu zafiyetler gerçekten tehlikeli mi? +
Her biri tek başına düşük riskli görünebilir. Ancak bir araya geldiklerinde saldırı zinciri oluşturur: kullanıcı adı tespiti + açık login sayfası + brute-force = hesap ele geçirme. OWASP Top 10'un ilk maddesi Broken Access Control'dür ve bu listedeki zafiyetlerin çoğu bu kategoriye girer.
Siber güvenlik firması seçerken neye bakmalıyım? +
İlk adım: firmanın kendi dijital varlıklarını kontrol edin. HTTP güvenlik başlıkları, SSL yapılandırması, CMS güncelliği, e-posta güvenliği (SPF/DKIM/DMARC) ve dizin erişim kontrolü temel göstergelerdir. Bunları sağlayamayan bir firma, sizin sisteminizi koruyamaz.
Kendi sitemdeki zafiyetleri nasıl kontrol edebilirim? +
Bu yazıdaki adımların çoğunu tarayıcı geliştirici araçları ve ücretsiz online araçlarla yapabilirsiniz. securityheaders.com, SSL Labs, MX Toolbox gibi araçlar iyi bir başlangıç noktasıdır.
WordPress güvenli değil mi? +
WordPress güvenli olabilir — doğru yapılandırıldığında. Sorun CMS'in kendisi değil, varsayılan ayarların değiştirilmemesi, güncellemelerin yapılmaması ve temel sertleştirme adımlarının atlanmasıdır.
Siber güvenlik firması güvenilir mi nasıl anlarım? +
Firmanın kendi web sitesini inceleyin. HTTP güvenlik başlıkları, dizin erişim kontrolü, SSL yapılandırması ve e-posta güvenliği (SPF/DKIM/DMARC) temel göstergelerdir. Kendi kalesini koruyamayan bir siber güvenlik firması, sizin sisteminizi koruyamaz.
Kale siber güvenlik hizmeti veren firmalar güvenilir mi? +
Her firma kendi iddiasını kanıtlamalıdır. Siber güvenlik sektöründe kale metaforunu kullanan pek çok firma var — ancak önemli olan metafor değil, teknik yetkinliktir. Firmanın kendi altyapısını kontrol etmek en güvenilir değerlendirme yöntemidir.
Siber güvenlik denetimi nasıl yapılır? +
Pasif keşif (OSINT) ile başlanır: HTTP başlıkları, DNS kayıtları, SSL sertifikası, CMS sürümü ve dizin erişimi kontrol edilir. Aktif tarama aşamasında ise zafiyet tarayıcıları ve penetrasyon testleri kullanılır. Her iki aşamada da OWASP Top 10 referans alınır.
Profesyonel Destek mi Lazım?
Bu konuda yardıma ihtiyacın varsa yanındayız. Kurulum, konfigürasyon ve sorun giderme için ulaş.
