★★★ Avrupa Birliği tarafından ortak finanse edilmiştirCo-funded by the European Union SECURE-CS · Civil Society Security
Platform Değerlendirme RaporuPlatform Assessment Report · civilsocietysecurity.net

Sivil Toplum İçin Teknik Güvenlik Panoraması

A Technical Security Overview for Civil Society

SECURE-CS öz-değerlendirme platformu üzerinden taranan 13 alan adının teknik güvenlik yapılandırma sonuçlarının kurumsal analizi. Bulgular; sertifika, DNS, HTTP başlıkları, IP itibarı, port erişimi ve enjeksiyon sinyalleri üzerinden derlenmiştir.

An institutional analysis of the technical security configuration results for 13 domains scanned through the SECURE-CS self-assessment platform. Findings are compiled across certificates, DNS, HTTP headers, IP reputation, port exposure and injection signals.

0
/ 100
Orta RiskMedium Risk
HazırlayanPrepared byANKA Gelecek ve Yenilik Derneği
KapsamScope13 alan adıdomains · 6 Türkiye merkezliTürkiye-based
DönemPeriodHaziranJune 2026
SınıfClassificationKurumsal · Kamuya açıkCorporate · Public
01 · Yönetici ÖzetiExecutive Summary

Sağlam temel, tek bir zayıf halka

A solid foundation with one weak link

0
Ortalama Skor / 100Average Score / 100
%0
SSL/TLS GeçerlilikSSL/TLS Validity
%0
HTTP Başlık OrtalamasıAverage HTTP Headers
0
Alan Adında DKIM EksikDomains Missing DKIM

Taranan 13 sitenin tamamı geçerli sertifika ve temiz IP itibarına sahip. Buna karşın HTTP güvenlik başlıkları ve e-posta kimlik doğrulaması neredeyse tüm sitelerde eksik.

All 13 scanned sites have valid certificates and clean IP reputation. Yet HTTP security headers and email authentication are missing on nearly every one.

Skorlar 51 ile 79 arasında dağılıyor ve ortalama 61/100 ile "Orta Seviye Teknik Risk" bandında toplanıyor. Sertifika, IP itibarı ve ağ sinyalleri tarafında sonuçlar istikrarlı biçimde güçlü. Fark, uygulama katmanı sertleştirmesinden geliyor.

En yüksek skoru bir banka altyapısı (kuveytturk.com.tr, 79) alırken, en düşük skor bireysel bir WordPress kurulumunda (atolyeuskudar.com, 51) görüldü. Kurumsal olgunluk ile teknik sertleştirme arasındaki bağ net biçimde okunuyor.

Scores range from 51 to 79 and cluster in the "Medium Technical Risk" band at an average of 61/100. Results are consistently strong for certificates, IP reputation and network signals. The gap comes from application-layer hardening.

The highest score belongs to a bank infrastructure (kuveytturk.com.tr, 79), while the lowest is an individual WordPress install (atolyeuskudar.com, 51). The link between organizational maturity and technical hardening is clearly visible.

02 · Skor SıralamasıScore Ranking

Alan adı bazında genel skor

Overall score by domain

Otomatik teknik değerlendirme skoru, sekiz kontrol başlığının ağırlıklı toplamıdır. Penetrasyon testi sonucu değildir.

The automated technical assessment score is a weighted total of eight control categories. It is not a penetration test result.

01 kuveytturk.com.tr 79
02 theadam.com.tr 67
03 lsvdukkan.com 66
04 ankagenclik.com 63
05 halic.edu.tr 63
06 aydin.edu.tr 62
07 cetlis.com 61
08 macittekstil.com 60
09 halicaitekmer.com 57
10 hataytso.org.tr 56
11 solida.app 56
12 darussafaka.org 52
13 atolyeuskudar.com 51
İyi (70+)Good (70+) Orta (60-69)Fair (60-69) Dikkat (50-59)Watch (50-59)
03 · Sistemik GörünümSystemic View

Nerede güçlüyüz, nerede açık veriyoruz

Where we are strong, where we are exposed

Kontrol başlıklarının 13 site genelindeki ortalama başarımı. Yüksek değerler yerleşik güçlü alanları, düşük değerler sistemik zafiyeti gösterir.

Average performance of each control category across the 13 sites. High values mark established strengths, low values mark systemic weaknesses.

SSL / TLS SertifikasıSSL / TLS Certificate100%
Tüm alan adlarında geçerliValid on every domain
IP İtibarı (AbuseIPDB)IP Reputation (AbuseIPDB)100%
Kötüye kullanım kaydı yokNo abuse records
IP Ağ SinyalleriIP Network Signals100%
Proxy / VPN / TOR bulgusu yokNo proxy / VPN / TOR indicators
Domain İtibar SkoruDomain Reputation Score86%
Ortalama, düşük risk aralığındaAverage, within low-risk band
Enjeksiyon SinyaliInjection Signal57%
Değişken, manuel doğrulama gerektirirVariable, needs manual review
DNS / E-posta GüvenliğiDNS / Email Security36%
SPF kısmi, DKIM ve DMARC eksikPartial SPF, DKIM and DMARC missing
HTTP Güvenlik BaşlıklarıHTTP Security Headers20%
Sistemik en zayıf alanThe systemic weak spot
04 · Kritik BulgularCritical Findings

Öncelikli müdahale gerektiren noktalar

Points requiring priority attention

Yüksek · EnjeksiyonHigh · Injection

SQL benzeri hata çıktısı

SQL-like error output

Bir sitede test isteklerine karşı SQL hata mesajını andıran teknik çıktılar üretildi. Kesin bir açık kanıtı değil, ancak öncelikli manuel doğrulama şart.

One site returned technical output resembling SQL error messages in response to test requests. This is not proof of a vulnerability, but priority manual verification is required.

theadam.com.tr
Yüksek · Port ErişimiHigh · Port Exposure

Dışarı açık veritabanı ve yönetim portları

Exposed database and admin ports

Üç sitede MySQL (3306), bir sitede ayrıca SSH (22) internete açık. Bu servisler yalnızca IP kısıtı veya VPN arkasından erişilebilir olmalı.

Three sites expose MySQL (3306) and one also exposes SSH (22) to the internet. These services should be reachable only via IP allowlist or behind a VPN.

3306: cetlis.com · macittekstil.com · theadam.com.tr  |  22: cetlis.com
Orta · E-posta KimliğiMedium · Email Identity

DKIM ve DMARC neredeyse hiç yok

DKIM and DMARC almost entirely absent

13 siteden 12'sinde DKIM imzası bulunamadı, 10'unda DMARC eksik ya da "none". Bu boşluk alan adı adına sahte e-posta gönderimini kolaylaştırır.

DKIM signatures were absent on 12 of 13 sites, and DMARC is missing or "none" on 10. This gap makes it easier to spoof email in the domain's name.

DKIM yalnızcaDKIM only on cetlis.com · DMARC reject yalnızcaDMARC reject only on aydin.edu.tr, halic.edu.tr
Orta · HTTP BaşlıklarıMedium · HTTP Headers

Sertleştirme başlıkları sistemik eksik

Hardening headers are systemically missing

HSTS, X-Frame-Options, X-Content-Type-Options ve Referrer-Policy çoğu sitede tanımsız. Ortalama başlık skoru %20. Clickjacking ve MIME saldırılarına karşı koruma zayıf.

HSTS, X-Frame-Options, X-Content-Type-Options and Referrer-Policy are undefined on most sites. The average header score is 20%. Protection against clickjacking and MIME attacks is weak.

7 sitede başlık skoru 0 · En iyi örnek7 sites score 0 · Best example: kuveytturk.com.tr (80%)
05 · Site Bazlı DetayPer-Domain Detail

Her alan adı için kontrol dökümü

Control breakdown for each domain

Skora göre sıralı. Her kartta dört kritik kontrolün ham değeri ve e-posta / port / enjeksiyon durumu yer alır.

Sorted by score. Each card shows the raw value of four key controls plus email, port and injection status.

kuveytturk.com.trŞirketCompany · Beyoğlu, TürkiyeTürkiye
79
HTTP BaşlıklarıHTTP Headers80
DNS / MailDNS / Mail10/15
EnjeksiyonInjection4/5
Domain İtibarDomain Rep.90
SPF sıkıSPF strictDKIM yokDKIM noneDMARC varDMARC presentHassas port yokNo sensitive ports Belirgin sinyal yokNo notable signal
theadam.com.trBireyselIndividual · Paris, FransaFrance
67
HTTP BaşlıklarıHTTP Headers70
DNS / MailDNS / Mail5/15
EnjeksiyonInjection1/5
Domain İtibarDomain Rep.85
SPF varSPF presentDKIM yokDKIM noneDMARC yokDMARC noneFTP açıkFTP openMySQL açıkMySQL open SQL benzeri çıktı · doğrulama şartSQL-like output · verification required
lsvdukkan.comBireyselIndividual · Toronto, KanadaCanada
66
HTTP BaşlıklarıHTTP Headers40
DNS / MailDNS / Mail5/15
EnjeksiyonInjection1/5
Domain İtibarDomain Rep.85
SPF sıkıSPF strictDKIM yokDKIM noneDMARC yokDMARC noneHassas port yokNo sensitive ports İstekler engellendi · koruma aktifRequests blocked · protection active
ankagenclik.comSTKNGO · Meppel, HollandaNetherlands
63
HTTP BaşlıklarıHTTP Headers25
DNS / MailDNS / Mail5/15
EnjeksiyonInjection4/5
Domain İtibarDomain Rep.90
SPF softSPF softDKIM yokDKIM noneDMARC zayıfDMARC weakHassas port yokNo sensitive ports Belirgin sinyal yokNo notable signal
halic.edu.trŞirketCompany · İstanbul, TürkiyeTürkiye
63
HTTP BaşlıklarıHTTP Headers0
DNS / MailDNS / Mail10/15
EnjeksiyonInjection1/5
Domain İtibarDomain Rep.90
SPF sıkıSPF strictDKIM yokDKIM noneDMARC rejectDMARC rejectHassas port yokNo sensitive ports Davranış farkı · inceleme önerilirBehavioral anomaly · review advised
aydin.edu.trBireyselIndividual · Toronto, KanadaCanada
62
HTTP BaşlıklarıHTTP Headers0
DNS / MailDNS / Mail10/15
EnjeksiyonInjection1/5
Domain İtibarDomain Rep.90
SPF sıkıSPF strictDKIM yokDKIM noneDMARC rejectDMARC rejectHassas port yokNo sensitive ports İstekler engellendi · koruma aktifRequests blocked · protection active
cetlis.comBireyselIndividual · İstanbul, TürkiyeTürkiye
61
HTTP BaşlıklarıHTTP Headers0
DNS / MailDNS / Mail10/15
EnjeksiyonInjection4/5
Domain İtibarDomain Rep.95
SPF softSPF softDKIM varDKIM presentDMARC zayıfDMARC weakFTP açıkFTP openSSH açıkSSH openMySQL açıkMySQL open Belirgin sinyal yokNo notable signal
macittekstil.comŞirketCompany · Vilnius, LitvanyaLithuania
60
HTTP BaşlıklarıHTTP Headers25
DNS / MailDNS / Mail5/15
EnjeksiyonInjection4/5
Domain İtibarDomain Rep.90
SPF softSPF softDKIM yokDKIM noneDMARC zayıfDMARC weakFTP açıkFTP openMySQL açıkMySQL open Belirgin sinyal yokNo notable signal
halicaitekmer.comŞirketCompany · İstanbul, TürkiyeTürkiye
57
HTTP BaşlıklarıHTTP Headers0
DNS / MailDNS / Mail5/15
EnjeksiyonInjection1/5
Domain İtibarDomain Rep.75
SPF sıkıSPF strictDKIM yokDKIM noneDMARC yokDMARC noneHassas port yokNo sensitive ports Davranış farkı · inceleme önerilirBehavioral anomaly · review advised
hataytso.org.trBireyselIndividual · Denizli, TürkiyeTürkiye
56
HTTP BaşlıklarıHTTP Headers0
DNS / MailDNS / Mail5/15
EnjeksiyonInjection4/5
Domain İtibarDomain Rep.85
SPF sıkıSPF strictDKIM yokDKIM noneDMARC yokDMARC noneFTP açıkFTP open Belirgin sinyal yokNo notable signal
solida.appBireyselIndividual · Toronto, KanadaCanada
56
HTTP BaşlıklarıHTTP Headers15
DNS / MailDNS / Mail0/15
EnjeksiyonInjection4/5
Domain İtibarDomain Rep.80
SPF yokSPF noneDKIM yokDKIM noneDMARC yokDMARC noneHassas port yokNo sensitive ports Belirgin sinyal yokNo notable signal
darussafaka.orgBireyselIndividual · Toronto, KanadaCanada
52
HTTP BaşlıklarıHTTP Headers0
DNS / MailDNS / Mail0/15
EnjeksiyonInjection4/5
Domain İtibarDomain Rep.80
SPF yokSPF noneDKIM yokDKIM noneDMARC yokDMARC noneHassas port yokNo sensitive ports İstekler engellendi · koruma aktifRequests blocked · protection active
atolyeuskudar.comBireyselIndividual · İstanbul, TürkiyeTürkiye
51
HTTP BaşlıklarıHTTP Headers0
DNS / MailDNS / Mail0/15
EnjeksiyonInjection4/5
Domain İtibarDomain Rep.85
79
06 · Referans YapılandırmaReference Configuration

kuveytturk.com.tr — hedeflenebilir seviye

kuveytturk.com.tr — an attainable target

Tam kapsamlı Content-Security-Policy, HSTS (preload), X-Content-Type-Options ve Referrer-Policy birlikte tanımlı. Diğer siteler için ulaşılabilir bir sertleştirme referansı sunuyor. Tek eksik, DKIM imzası.

A full Content-Security-Policy, HSTS (preload), X-Content-Type-Options and Referrer-Policy are all defined together. It offers an attainable hardening reference for the other sites. The only gap is a DKIM signature.

HTTP BaşlıkHTTP Headers: 80% SSL/TLS: GeçerliValid SPF: SıkıStrict DMARC: TanımlıDefined