Pentest ve Hacking için 40+ İşlevsel ve Kolaylık İçin Web Siteler (Öğretici & Eğitici İçerik)

Uyarı: Aşağıda listelenen araçların bir kısmı çift taraflı kullanıma (dual-use) sahiptir. Bu araçları yalnızca kendi sistemlerinizde, izinli olduğunuz hedeflerde veya yasal güvenlik testleri kapsamında kullanmak sizin sorumluluğunuzdadır. Eğitim ve eğitici amaçlı içeriktir. Yetkisiz erişim ve müdahaleler yasa dışıdır.

🛠️ Uygulamalı Pratik ve Beceri Geliştirme​

• bWAPP: 100'den fazla güvenlik açığı içeren, bilerek güvenlik zafiyetleriyle oluşturulmuş bir web uygulaması.
• OverTheWire: Linux ve güvenlik konseptlerini öğrenmek için savaş oyunları tarzında zorluklar sunar.
• Root-Me: Çok dilli desteği ve 10'dan fazla farklı konuda hacking zorlukları ile bilinir.
• Red Team Labs: Ayrıcalık yükseltme ve yanal harekat gibi ileri düzey kırmızı takım simülasyonlarına odaklanır.
• Nuclei Templates Labs: Gerçek dünya güvenlik testleri için hazır, güvenlik açığı içeren ortamlar ve Nuclei şablonları sunar.
• PentesterLab & TryHackMe & HackTheBox : Web uygulaması güvenlik açıklarına odaklanan, pratik laboratuvarlar ve detaylı anlatımlar içerir.
• Damn Vulnerable iOS App (DVIA): Mobil güvenlik testleri için iOS cihazlara özel, güvenlik açıkları içeren bir uygulama.
• Hack This Site: Web hacking, adli bilişim ve programlama alanlarında topluluk odaklı görevler sunar.

🔍 Açık Kaynak İstihbaratı (OSINT)​

• DNSDumpster: Bir kuruluşun DNS ve alt alan adı yapısını görsel olarak haritalandıran bir OSINT aracı.
• LeakIX: Sadece açık portları değil, veri sızıntılarını ve açıkları tespit etmeye odaklanır.
• ZoomEye: Shodan'a alternatif olan, Çin yapımı bu arama motoru, farklı internet dilimlerini tarayarak Shodan'ın kaçırdığı bilgileri bulabilir.
• WhoisXML API: Alan adları, IP'ler ve diğer varlıklar hakkında detaylı istihbarat toplamak için kapsamlı API'ler sunar.
• IntelTechniques: Özel dedektifler ve kolluk kuvvetleri için OSINT araçları ve kaynakları sunar.
• Bellingcat's OSINT Tools: Araştırmacı gazetecilik topluluğu Bellingcat tarafından kullanılan araç ve ipuçlarını içerir.
• AccountAnalysis: X/Twitter hesaplarının genel verilerini analiz etmek için kullanılır.
• Spoonbill: Twitter profillerindeki biyografi ve diğer değişiklikleri takip eder.
• Dumpor: Instagram'daki genel gönderi ve hikayeleri anonim olarak görüntülemeye yarar.

🌐 Ağ Keşfi ve Saldırı Simülasyonu​

• Caldera (MITRE): MITRE ATT&CK matrisini temel alan, otomatik düşman emülasyonu yapmaya yarayan güçlü bir platform.
• Amass: Harici saldırı yüzeyini haritalandırmak için DNS numaralandırması, kazıma ve brute-force tekniklerini birleştiren derin bir varlık keşif aracı.
• Faraday IDE: 70'den fazla güvenlik aracıyla entegre olabilen, işbirliğine dayalı bir çalışma alanı ve raporlama aracı.
• CrackMapExec (CME): Active Directory ortamlarında kimlik bilgisi doldurma, SMB paylaşım numaralandırması ve komut yürütme gibi görevleri otomatize eden "İsviçre çakısı".
• Impacket: SMB, RDP ve LDAP gibi Windows protokollerini manipüle etmek için Python betikleri koleksiyonu.
• Empire: PowerShell ve Python tabanlı, post-exploitation ve komuta kontrol (C2) işlemleri için esnek ve uygun maliyetli bir çerçeve.
• FFuF (Fast Fuzzer): Web sunucularında gizli dizinleri, dosyaları ve alt alan adlarını keşfetmek için hızlı ve özelleştirilebilir bir fuzzer.

🧩 Zafiyet Araştırması ve Exploit Veritabanları​

• Packet Storm Security: Günlük olarak güncellenen, exploit'ler, danışman belgeleri ve özel güvenlik araçları arşivi.
• ZeroDay Initiative (ZDI): Dünyanın en büyük güvenlik açığı araştırma programlarından biri, sıfırıncı gün açıkları hakkında detaylı tavsiyeler yayınlar.
• VulnCheck: Git depolarındaki exploit'leri ve konsept kanıtlarını (PoC) gerçek zamanlı olarak izlemeye yarar.
• Vulmon: Kapsamlı bir güvenlik açığı istihbarat veritabanı ve arama motoru.
• CPR-Zero: Check Point Research tarafından bulunan tüm güvenlik açıklarını halka açık olarak listelediği yeni bir havuz.
• Hardenize: Web sitelerinin ve altyapılarının güvenlik seviyesini analiz eden kapsamlı bir araç.
• MalwareBazaar: Kötü amaçlı yazılım örneklerini toplayan ve paylaşan bir platform.

🛡️ Zararlı Yazılım Analizi ve Tersine Mühendislik​

• Indetectables Toolkit: Tersine mühendislik, zararlı yazılım analizi ve cracking için 100'den fazla aracı bir araya getiren kapsamlı bir araç seti.
• Rizin: Radare2 projesinden çatallanmış, hızlı ve modüler yapısıyla öne çıkan açık kaynaklı bir tersine mühendislik yazılımı.
• FLOSS (FLARE Obfuscated String Solver): Kötü amaçlı yazılımlardan otomatik olarak gizlenmiş string'leri çıkarmak ve deobfuskasyonunu yapmak için kullanılır.
• SightHouse: Tersine mühendislere, programlardan bilgi ve metadata toplama ve diğer kaynaklardan bilinen benzer işlevleri bulma konusunda yardımcı olan bir araç.
• GoResolver: Golang ile yazılmış ikili dosyalardaki obfuskasyonu kaldırmak için kontrol akışı grafiği benzerliğini kullanan bir araç.
• DecompAI: LLM destekli, sohbet edebilen, decompile edebilen ve Ghidra veya GDB gibi araçları başlatabilen bir tersine mühendislik ajanı.

🔐 Gizlilik, Anonimlik ve Şifreleme​

• Carburetor: Tor tarayıcı olmadan, yerel bir Tor proxy'si çalıştırarak Tor seviyesinde gizlilik sağlayan hafif bir Linux uygulaması.
• Psylo: Her sekmesi kendi depolama alanına, çerezlerine ve hatta IP adresine sahip olan "silo" tabanlı, yeni nesil bir gizlilik tarayıcısı.
• EnigmaKeep: %100 çevrimdışı, sıfır bilgi (zero-knowledge) prensibiyle çalışan bir şifre yöneticisi.
• Sticky Password: Kullanımı kolay arayüzü ve koyu web izleme gibi özellikleriyle bilinen ücretsiz bir şifre yöneticisi.
• Picocrypt: Güvenlik, basitlik ve güvenilirliğe odaklanmış, son derece küçük ve basit bir dosya şifreleme aracı.
• NTRS (Nano-Topographic Radial Steganography): Geleneksel steganografiden farklı olarak, verileri piksel değerlerine değil, bir koordinat haritasına gizleyen optik bir şifreleme protokolü.
• CipherVault: Tarayıcıda, istemci tarafında AES-GCM ve PBKDF2 kullanarak mesajları şifreleyip çözmeye yarayan, retro-neon temalı bir araç.

📰 Haber Toplayıcılar, Forumlar ve Topluluklar​

• Notify Cyber: 7'den fazla kaynaktan siber güvenlik haberlerini toplayıp özetleyen, açık kaynaklı bir platform.
• Dragon News Bytes (Team Cymru): Özel ve kısıtlı bir e-posta listesi üzerinden seçilmiş siber tehdit haberleri ve araştırmalar dağıtan bir servis.
• Full-Disclosure: Güvenlik açıkları hakkında detaylı, satıcıdan bağımsız tartışmaların yapıldığı halka açık bir forum.
• BugBounty Directory: HackerOne veya Bugcrowd gibi büyük platformlarda listelenmeyen, daha az bilinen hata ödülü programlarını keşfetmek için bir rehber.
• Undercode Testing: Daha az bilinen hata ödülü platformları ve metodolojileri hakkında rehberler sunar.
• exploits.club: Güvenlik açığı araştırması, exploit geliştirme ve tersine mühendislik kaynaklarından oluşan bir koleksiyon.

Bu kaynaklar, alanında uzman kişiler tarafından önerilmiş ve düzenli olarak güncellenen listelerden doğrulama ardından derlenmiştir. Şeffaf şirket ve platformlar tercih edilmiş ve her düzeyde pentester için düzenlenmiştir.