Güvenlik Tarama Raporu

PeLeK AI · 4-fazlı pipeline · yetkili tarama

Hedef: app.example.com Tarama ID: scan_a1b2c3d4e5f6 Tarih: 2026-06-19 Yöntem: [3] Düşük risk Yetki: authorization_confirmed = true Fazlar: recon → tespit → doğrulama → rapor

Yönetici Özeti

Yetkili kapsamda yapılan tarama 6 canlı servis tespit etti. Doğrulanmış 2 bulgu (orta) ve 4 bilgilendirme düzeyinde gözlem kaydedildi; yüksek/kritik doğrulanmış bulgu yoktur. dos/brute/fuzz sınıfları çalıştırılmadı; tüm aktif adımlar yetki kapısından geçti.

38/100

Risk-postürü: Orta-Düşük

Doğrulanmış: high 0 · med 2 · low 0 · info 4

Servis Keşfi

Host	Port	Servis	Teknoloji	Kaynak
app.example.com	443	https	nginx · TLS1.3	canlı/doğrulanmış
app.example.com	80	http	301 → https	canlı/doğrulanmış
api.example.com	443	https	nginx · REST	canlı/doğrulanmış

Bulgular

Eksik güvenlik başlıkları orta

Hedef: https://app.example.com/ · Güven: orta · Kaynak: nuclei (doğrulandı)

Yanıt başlıklarında Content-Security-Policy ve Strict-Transport-Security bulunmuyor. Bu, içerik enjeksiyonu ve protokol düşürme risklerini artırabilir.

Öneri: Sıkı bir CSP ve HSTS başlığı uygulayın; alt alanlar için includeSubDomains değerlendirin.

Açık dizin listeleme (statik dizin) orta

Hedef: https://app.example.com/assets/ · Güven: orta · Kaynak: ffuf içerik keşfi

Statik bir dizin için listeleme açık; dosya envanteri dışarıdan görülebiliyor. Hassas dosya tespit edilmedi.

Öneri: Dizin listelemeyi kapatın (autoindex off) ve yalnız gerekli yolları yayınlayın.

Bilgilendirme gözlemleri info

TLS 1.3 + güçlü şifre takımları, sunucu sürüm afişi maskeli, login formu rate-limit'li. Bu maddeler olumlu güvenlik göstergeleridir; aksiyon gerektirmez.

Metodoloji & Güvenlik Sınırları

Yalnız yetkili hedef; tarama öncesi insan yetki onayı, FAZ3'te sunucu tarafı yeniden doğrulama.
Yalnız allowlist'teki araç profilleri; serbest shell yok; AI çıktıları sanitize edildi.
dos, brute, fuzz sınıfları daima hariç; DAST çalıştırılmadı (düşük risk yöntemi).