VAKA ÇALIŞMASI · E-TİCARET
Bir e-ticaret platformunda 3 haftada kapatılan 8 bulgu
Aegis Scanner'ın yıllık ₺50M cirolu bir e-ticaret platformunda nasıl çalıştığının senaryosu — bulgular, düzeltme süresi, önlenen ceza riski.
Başlangıç durumu
Müşteri profili ve baseline tarama sonuçları.
Müşteri: Yıllık ₺50M ciro, 200 çalışan, 10+ alan adı (ana site + alt domain'ler + test ortamları). KVKK denetimi 3 ay sonra planlı. Önceki sızma testi 9 ay önce, yıllık ₺120K bütçeli.
Kullandığı yığın: WooCommerce + WordPress, Cloudflare CDN, AWS S3 ürün görsel barındırma, Mailchimp pazarlama otomasyonu, Google Analytics + Meta Pixel.
İlk Aegis taraması: Pro plan aboneliği aktive edildi → 24 saat içinde ilk rapor ekibe ulaştı.
Hafta hafta düzeltme akışı
3 hafta içinde 8 bulgudan 8'i kapatıldı.
HAFTA 1 · KRİTİK
Hemen düzeltilmesi gereken 3 bulgu
Aegis ilk taramada 3 kritik açık tespit etti. Sahip ekibi 48 saat içinde hepsini kapattı.
CRIT · S3 bucket public list-objects
CRIT · /wp-content/uploads dizin listeleme açık
CRIT · staging.mağaza-x.com.tr admin panel auth yok
HAFTA 2 · YÜKSEK
Yapısal güvenlik açıkları
CSP başlığı eksik, eski WP eklentisi (Contact Form 7 CVE-2023-...), SPF/DMARC zayıf konfigürasyon. Aegis "Düzeltmemi Kontrol Et" ile re-scan doğrulama.
HIGH · CSP başlığı yok (XSS riski)
HIGH · WP plugin CVE-2023-6961
HIGH · DMARC p=none (phishing açık)
HAFTA 3 · ORTA
Uzun vadeli düzeltmeler
Meta Pixel açık rıza alınmadan yüklü (KVKK m.5/1 ihlali), KVKK aydınlatma metni statik HTML'de yok. CMP entegrasyonu yapıldı, ayrıca aydınlatma bağlantısı eklendi.
MED · Meta Pixel rıza dışı yükleniyor
MED · KVKK aydınlatma metni JS-yüklü
"İlk Aegis raporu KVKK denetiminden önce zayıf noktaları net listeledi. 3 haftada hepsini kapattık. Manuel pentest yıllık ₺120K iken Aegis Growth yıllık ₺35,9K — fiyat farkından arta kalan bütçeyi düzeltme işine harcadık."
— Tipik Aegis Growth müşterisi yorumu (anonimize)
Sürekli izleme değeri
İlk 3 hafta sonrası ne oldu — 9 ay boyunca her hafta otomatik tarama.
3 hafta düzeltme bitti ama Aegis çalışmaya devam etti. Sonraki 9 ayda 4 ek bulgu tespit edildi:
- 2 → yeni eklenen WordPress eklentisinde CVE çıktı (haftalık CVE feed eşleştirme)
- 1 → eski test alt domain'i (test-eski.mağaza-x.com.tr) silinmeden DNS dangling kaldı (subdomain takeover)
- 1 → e-mail provider değişikliğinde SPF kaydı güncellenmedi (spoofing fırsatı)
Hepsi otomatik bildirimle ekibe düştü, ortalama 4 saat içinde kapatıldı. Manuel pentest senaryosunda bu açıklar 6 ay sonraki sıradaki test'e kadar açık kalabilirdi.
Yıllık ROI özeti
Manuel pentest alternatifi₺120.000
KVKK ceza riski (5 ihlal × ortalama ₺550K × %15)₺412.500
Toplam beklenen alternatif maliyet₺532.500
Aegis Growth yıllık₺35.880
Net tasarruf₺514.620 / 28×