Sızma Testi Portföyü 2026: Sergileyeceğiniz 7 Etik Hack Projesi

November 06, 2025 'de güncellendi 6 dakika oku

Siber güvenliğe 2026’da adım atmak hâlâ kanıta dayanır. İşverenler yalnızca araç çalıştırabildiğinizi değil, riski nasıl kapsam belirlediğinizi, nasıl test ettiğinizi ve nasıl iletişim kurduğunuzu görmek ister. Güçlü bir sızma testi portföyü; gerçek muhakemeyi, gerçek kanıtı ve gerçek etkiyi gösterdiği için meraklı işe alımcıları hevesli mülakatçılara dönüştürür.

Bu rehberde, Active Directory saldırı yollarından bulut IAM yanlış yapılandırmalarına kadar temel becerilere karşılık gelen yedi pratik proje inşa edeceksiniz. Her projede ne yapacağınız, ne göstereceğiniz ve GitHub ile özgeçmişinizin net, işe hazır bir hikâye anlatması için sonuçları nasıl paketleyeceğiniz yer alır.

2026’da Neden Sızma Testi Portföyü Hâlâ Kazandırır

İşe alım ekipleri günde onlarca profili gözden geçirir. yöntem, etki ve açıklık gördüklerinde dururlar. Bu da açıkça tanımlanmış bir kapsam, bir-iki zincirlenmiş istismar ve teknik olmayan bir paydaşın dakikalar içinde anlayacağı temiz bir yönetici özetidir.

Portföyünüzü sıkı ve okunaklı tutun. Kısa paragraflar, net etiketli ekran görüntüleri ve 30–60 saniyelik tanıtım klipleri kullanın. Her düzeltmenin önce/sonra hâlini gösterin ve bir danışman gibi düşündüğünüzü kanıtlayan basit bir iyileştirme planıyla kapatın.

Proje 1: Active Directory Saldırı–Savunma Ev Laboratuvarı

Bir Etki Alanı Denetleyicisi, iki Windows istemcisi ve bir Linux saldırı kutusundan oluşan minyatür bir işletme kurun. Kasıtlı olarak zayıf ACL’ler veya kısıtsız yetki devri ekleyin; ardından bir saldırganın ilk ayaktan etki alanı ayrıcalık yükseltmesi ve mavi ekibin neleri göreceğini belgeleyin.

Her hamlenin arkasındaki nedene odaklanın. Sysmon günlüklerini, Olay Görüntüleyici izlerini ve ihlali teyit eden telemetrinin hangisi olduğunu açıklayan hafif bir tespit notu yakalayın. Kimlikleri, hizmetleri ve devir yollarını sertleştiren tek sayfalık bir iyileştirme planıyla bitirin.

Gösterilecekler: bir saldırı yolu diyagramı, önemli komut parçacıkları ve kırmızı/mavi zaman çizelgesi. Vurgulanacak sonuç: yanlış yapılandırmaların riski nasıl büyüttüğü ve düzeltmelerinizin bunu nasıl azalttığı. İnşa sırasında mentorluk için Siber Güvenlik Bootcamp müfredatına ve desteğine bakın.

Proje 2: Gerçekçi Hedefte Web Uygulaması Sızma Testi

Kasten savunmasız bir uygulamayı müşteri görevi gibi ele alın. Küçük bir kurallar dokümanı yazın; sonra kırık erişim kontrolü, enjeksiyon ve kimlik doğrulama zafiyetleri için test yapın. Düşük ayrıcalıklı bir kimlik doğrulama atlamasını Nesne Düzeyinde Yetki Denetimi (IDOR) ile zincirleyerek hassas verilere ulaşın ve iş etkisini yalın biçimde gösterin.

Her bulguyu iki bölümde açıklayın. İlk olarak istek/yanıt farkları ve anonimleştirilmiş payload’larla net bir teknik özet. İkincisi, kimin zarar görebileceğini, nelerin kaybedilebileceğini ve düzeltmenin risk manzarasını nasıl değiştirdiğini anlatan bir iş çevirisi.

Gösterilecekler: kısa kanıt konsepti (PoC) GIF’leri, önceliklendirilmiş düzeltmelerin nihai tablosu ve varsayılan güvenli ayarlar. Bonus: Geliştiricilerle daha iyi işbirliği için önerdiğiniz düzeltmeleri Web Geliştirme Bootcamp (programı) pratiğiyle karşılaştırın.

Proje 3: Kontrollü Laboratuvarda Kablosuz Güvenlik Değerlendirmesi

Kendi erişim noktanız ve istemci cihazlarınızla güvenli bir kablosuz test ortamı kurun. WPA2/WPA3 yapılandırmalarını gözden geçirin, kontrollü bir kötü ikiz (evil twin) saldırısı deneyin ve EAP ayarları veya zayıf parolaların saldırganlara kolay kazanç sağlayıp sağlamadığını doğrulayın.

Raporunuz operasyonel gerçekliği ciddiyetle ele alsın. hukuki kapsam, rıza ve güvenlik kontrollerini vurgulayın. Küçük bir ofisin izleyebileceği kısa bir “sahip kılavuzu” sağlayın—güçlü parolalar, SSID’lerin doğru yönetimi, ürün yazılımı güncellemeleri ve kritik sistemlerden ayrılmış misafir ağları.

Gösterilecekler: paket yakalamalar, araçlarınızdan açıklamalı ekran görüntüleri ve net bir önlem kontrol listesi. Hedef: sorunu bulabildiğinizi, basitçe açıklayabildiğinizi ve uzman olmayanların korkmadan düzeltebilmesine yardımcı olabildiğinizi göstermek.

Proje 4: Bulut IAM Yanlış Yapılandırması ve Depolama İfşası

Minimal bir AWS veya Azure hesabı oluşturun ve bir depolama kovasını ve birkaç IAM politikasını kasıtlı olarak yanlış yapılandırın. Kimlikleri envanterleyin, yükseltme yolları bulun ve asgari ayrıcalık ilkesinin hassas nesnelere istenmeyen erişimi nasıl önlediğini gösterin.

Keşiften savunmaya tam yayı gösterin. Politikanın önce/sonra hâlini, iş yükü için gereken en az izin setini ve sapmaları belirli aralıklarla yeniden denetleyen küçük bir betiği ekleyin. Veriler sahte ama gerçekçi olsun; kolaylık uğruna aşırı yetkilendirmeden kaçının.

Gösterilecekler: mimari ve patlama yarıçapı diyagramları, komut satırı (CLI) izleri ve yeni projeler için bir kontrol listesi. Vurgulanacak sonuç: paylaşılan sorumluluk modelini anladığınızı ve ekipleri daha güvenli varsayılanlara yönlendirebildiğinizi kanıtlayın.

Proje 5: Mobil Uygulama Trafiği ve API Güvenliği İncelemesi

Kontrolünüzde bir demo uygulaması kullanarak mobil-API akışını inceleyin. Trafiği engelleyin, jeton yönetimini değerlendirin ve oran sınırlamaları ile kimlik (ID) öngörülebilirliğini test edin. Sertifika pin’lemesini doğrulayın ve nesne kimlik (ID) değerlerini değiştirerek hassas verilerin erişilebilir olup olmadığını kontrol edin.

Hikâyeyi bir kullanıcının bakış açısından anlatın. Kimlik bilgisi olmadan bir saldırgan ne yapabilir? Girişten sonra ne değişir? Jetonlar nerede yaşar ve ne kadar sürer? Her bulguyu, daha güçlü sunucu tarafı kontrolleri veya sertleştirilmiş depolama gibi somut bir geliştirici eylemine bağlayın.

Gösterilecekler: istek haritaları, jeton yaşam döngüsü diyagramları ve oran sınırı test sonuçları. Teslimat: ekiplerin bilinçli takaslar yapabilmesi için ciddiyet, istismar edilebilirlik ve tahmini tamamlama süresi (ETA) içeren bir API risk kaydı.

Proje 6: Konteynerleştirilmiş Yığın Tedarik Zinciri ve Çalışma Zamanı Sertleştirme

Ön uç, API ve veritabanından oluşan küçük bir uygulama derleyin. Görünen CVE’ler için imajları tarayın, bir SBOM üretin; ardından mümkün olan yerlerde seccomp veya AppArmor profilleri ve salt-okunur dosya sistemleriyle çalışma zamanını kilitleyin. Yalnızca laboratuvarda bir konteyner kaçışı deneyin ve sizi neyin durdurduğunu belgeleyin.

Geliştirici ile Güvenliği empatiyle köprüleyin. Hızlı geliştirme akışını korurken köken ve politikayı nasıl uygulamada tutacağınızı açıklayın. İnceleyenlerin sonucu hızla çoğaltabilmesi için Docker Compose veya Kubernetes manifestlerinizdeki tam değişiklik (diff)leri yakalayın.

Gösterilecekler: bağlamlı tarama sonuçları, politika parçacıkları ve “geliştirmeden canlıya” sertleştirme kontrol listesi. Sonuç: bir inşa edici gibi düşünüp bir saldırgan gibi güvenceye alabileceğinizi kanıtlayın.

Proje 7: Bulgudan Yönetime Hazır Hikâyeye Raporlama Ustalığı

En güçlü iki-üç bulgunuzu seçin ve cilalı bir raporlama paketi hazırlayın. Düz riski yalın dille ifade eden bir yönetici özetiyle başlayın, çoğaltılabilir teknik adımlarla devam edin ve önceliklendirme matrisi ile yeniden test notlarıyla bitirin.

Okuyucunun zamanına saygı duyun. Özeti bir sayfada tutun, tutarlı ciddiyet kriterleri kullanın ve ilerlemeyi apaçık kılan önce-sonra kanıtları gösterin. Görsellerinizin dizüstünde yakınlaştırma olmadan okunabilir olmasını sağlayın.

Gösterilecekler: sıkı bir PDF veya markdown sayfaları paketi, değişiklik günlüğü ve onaylanmış düzeltme adımları. Hedef: güven, bütçe ve eylemi açan iletişim becerilerini göstermek.

Portföyünüzü Nasıl Paketlemeli ki Okunsun

GitHub’ınızı bir danışmanın görevi organize ettiği gibi yapılandırın. Odak alanınızı açıklayan ve her projeye bağlanan üst düzey bir README kullanın; sonra her projeyi kapsam, yöntem, kanıt ve rapor klasörleriyle kendi içinde tutarlı yapın. Kısa bir etik notu ekleyin ve hassas verileri kaldırın.

Kanıtı sıkı ve görsel tutun. Kısa bir video metin duvarını yener; temiz bir diyagram bin kelimeye bedeldir. Tutarlı dosya adları, görsellerde alternatif metin ve meşgul değerlendiriciler için kanıtınızı hızlıca okunur kılan altyazılar kullanın.

Yönlendirmeli paketleme, portföy incelemeleri ve mülakat provası için **Siber Güvenlik Bootcamp programımıza göz atın. Yöneticilerin işinizi hatırlaması için anlatımı teknik kadar inceltmenize yardımcı olacağız.

Pratik 4–6 Haftalık Plan

1. Haftada AD laboratuvarınızı kurun, kapsamı tanımlayın ve “mavi” kanıt zengin olsun diye erken loglamaya başlayın. 2. Haftada AD saldırı yolunu tamamlayın, iyileştirme taslağını çıkarın ve alanlar arası ivmeyi korumak için web uygulaması testine başlayın.

2. Haftada web raporunu cilalayın ve ilgi ve iş hedeflerine göre kablosuz veya mobil konusuna girişin. 4. Haftada bulut IAM laboratuvarınızı çalıştırın ve sapma denetim betiklerini işleyin; 5–6. Haftaları konteyner sertleştirme projesi ve raporlama ustalığı paketinizle tamamlayın.

Her hafta kısa bir güncelleme gönderisi yayınlayın ve README’nizden bağlayın. Bu tempo disiplin gösterir, ilerlemeyi iletişime açar ve işe alımcıların geri dönmesi için bir neden sunar.

İşe Alımcılar Ne Arar ve Siz Nasıl Kanıtlarsınız

Onlar araçlardan çok yöntem ister: hangi düğmelere bastığınızı değil, adımların neden önemli olduğunu açıklarsınız. uçtan uca düşünme isterler: sorunları iş etkisine zincirlersiniz ve gerçekten riski azaltan düzeltmeler önerirsiniz.

Ayrıca iletişim isterler: çekirdeği değiştirmeden sabah 10’da bir geliştiriciye, 16:00’da bir direktöre brifing verebilirsiniz. Son olarak etik ararlar: yalnızca size ait olana veya yazılı izni olan şeye test yaparsınız ve güvenli, yasal sınırları gözetirsiniz.

Sıradaki Adımınız: Yapılı İnşa Edin, Daha Hızlı İşe Girin

2026’da siber güvenliğe başlamak veya geçiş yapmak konusunda ciddiseniz, öğrenme süresini kısaltan ve işe alım sinyallerini maksimize eden koçlukla inşa edin. Takvimleri, finansmanı ve kariyer desteğini Siber Güvenlik Bootcamp içinde karşılaştırın veya tüm Kursları keşfedin.

İşverenlerin tanıdığı projeler inşa edin. Unutmadıkları bir hikâye anlatın. Sonra bu hikâyeyi, yanınızda Code Labs Academy varken ilk teklifinize dönüştürün.