Yapay zekadan makale özeti
- Kısa
- Ayrıntılı
- Bu video, bir eğitmen tarafından sunulan API güvenliği konulu kapsamlı bir eğitim serisinin ilk bölümüdür. Eğitmen, web sızma testleri ve mobil etik hacklik eğitimlerinin bir parçası olarak bu seriyi hazırladığını belirtiyor.
- Video, API güvenliği konusunu ele alarak on aşamalı bir CTF (Capture The Flag) çözümü sunuyor. İçerikte API'lerin ne olduğu, güvenli veya güvensiz şekilde tasarlanabileceği, Burp Suite aracı kullanarak API isteklerini yakalama, OVASP Top 10 API açıkları ve Root Task platformundan alınan 10 farklı API açıkını içeren kaynakların indirilmesi anlatılıyor. Ayrıca, Digital Ocean platformunda sunucu kurulumu, SSH bağlantısı kurma, WordPress ve Apache kurulumu, Docker Compose ile otomatik kurulum adımları detaylı olarak gösteriliyor.
- Eğitim serisi, hem web sızma testleri hem de mobil güvenlik eğitimlerinde yer alacak olup, bir sonraki derste Burp Suite ve Postman programlarının indirilmesi ve kullanımı anlatılacağı belirtiliyor.
- 00:01API Güvenliği Video Serisi Tanıtımı
- Bu video serisi API güvenliği konusunu işleyecek ve on aşamadan oluşan bir CTF (Capture The Flag) çözülecek.
- API'lar içerisindeki güvenlik açıkları hem mobil uygulamalarda hem de web tarafında problemlere yol açabiliyor.
- Bu video serisi web sızma testleri ve bug bounty eğitimini ilgilendiriyor, ancak Burp Suite aracının kullanımını bilmek gerekiyor.
- 01:39CTF Kurulumu
- Çözülecek CTF hazır değil, kendi sunucu kurulacak ve bu sunucu içerisinde canlı saldırılar yapılacak.
- Sunucu Digital Ocean'da kurulacak, ücretsiz bir kupon kodu paylaşılacak ancak kredi kartı bilgileri istenecek.
- Kurulum yapmak istemeyenler izleyip not alabilir, API güvenliği hem bug bounty için hem de daha güvenli web siteleri ve mobil uygulamalar için önemlidir.
- 03:23API Güvenliği Hakkında Genel Bilgi
- API'ler hem web sitelerini hem de mobil uygulamaları ilgilendiriyor çünkü genellikle aynı API'ler hem web hem mobil uygulamalar için kullanılıyor.
- API, Application Programming Interface (Uygulama Programlama Arayüzü) anlamına gelir ve sunucu üzerinde yazılan kodlarla isteklere cevap döndürür.
- API'ler genellikle JSON formatında bilgi yığını döndürür, bu bilgiler kullanıcıya gösterilebilir veya işlem yapılabilir.
- 07:17API Güvenliği ve Çalışma Prensibi
- API'ler güvenli veya güvensiz şekilde tasarlanabilir, kullanıcıların görmediği endpointler ve adresler nedeniyle güvenlik önlemleri gözden kaçabilir.
- Udemy örneğinde, kullanıcıların tıkladığı her istek aslında bir API isteği olarak yönlendirilir ve bu API'den gelen bilgiler doğrultusunda kullanıcıya farklı içerikler gösterilir.
- API'ler hem web hem de mobil uygulamalarda kullanılır ve bu API'lerde güvenlik sorunları varsa hem web hem de mobil uygulamalar için risk oluşturabilir.
- 11:52OWASP ve API Güvenlik Açıkları
- OWASP (Open Web Application Security Project), interneti daha güvenli hale getirmek için oluşturulan, para kazanma amacı olmayan bir vakıftır.
- OWASP, web üzerindeki en yaygın açıkları iki-üç yılda bir güncelleyerek paylaşır ve artık API'ler ve web'i ayrı ayrı değerlendirir.
- OWASP API Security, kullanıcı doğrulama, fazla veri aktarımı gibi farklı açıkları içeren bir listedir ve bu açıklar seneden seneye güncellenir.
- 14:20Swapy CTF Projesi
- Root Task adlı bir kullanıcı, OWASP API güvenlik açıklarını içeren on tane açık bulunduran bir CTF (Capture The Flag) hazırlamıştır.
- Swapy projesi GitHub'da "github.com/atılsamancıoğlu/swapy" adresinde bulunabilir ve kullanıcılar "code" kısmına basarak indirebilir veya "download zip" seçeneğiyle tüm klasörü indirebilir.
- Proje bilgisayara kurulmayacak, bir sunucuya kurulacak ve gerçek bir web sitesi veya API gibi çalışacak, böylece saldırılar bu sunucu üzerinden yapılacaktır.
- 17:49Sunucu Kurulumu İçin Digital Ocean
- Vap'yi çalıştırmak için internete bağlı bir sunucuya (hosting) ihtiyaç vardır.
- Digital Ocean, Amazon, AWS ve Herocco gibi sunucu satın alabileceğiniz bir site olup, ücretli bir hizmettir.
- Digital Ocean, yeni kullanıcılar için 25-100 dolar arasında kredi vermektedir ve bu dersin kaynaklarındaki linke tıklayarak kayıt olursanız bu krediyi alabilirsiniz.
- 19:52Digital Ocean'da Kayıt ve Proje Oluşturma
- Digital Ocean'da kayıt olmak için isim, soyisim ve kredi kartı bilgilerinizi girmeniz gerekecektir.
- Kayıt olduktan sonra panelinize yönlendirileceksiniz ve sol tarafta projeler bölümü olacaktır.
- Yeni bir proje oluşturmak için "New Project" seçeneğine tıklayıp, proje ismi belirleyebilirsiniz.
- 21:12Sunucu Oluşturma
- Vap'yi çalıştırmak için bir sunucu (droplet) oluşturmanız gerekmektedir.
- Linux makineleri tercih edilmelidir, özellikle Ubuntu veya Debian önerilmektedir.
- En ucuz seçenek olan 5 dolarlık "Regular Intel" seçeneği kullanılabilir.
- 22:40Sunucu Konumu ve Bağlantı
- Sunucunun oluşturulacağı konum (Amerika, Avrupa, Singapur gibi) seçilebilir.
- Bağlantı için SSH veya parola seçenekleri bulunmaktadır, geçici kullanım için parola tercih edilebilir.
- Sunucu oluşturulduktan sonra IP adresi görüntülenir ve bu adres ile bağlanılabilir.
- 25:01Sunucu Oluşturma ve Bağlantı
- Sunucu oluşturmak, güvenli olmayan kodları açık bırakmak yerine daha mantıklı bir yöntemdir.
- Sunucu içerisinde yapılan değişiklikler, sunucuyu hackleyen biri tarafından değiştirilebilir ve çözülemez hale gelebilir.
- Kali Linux veya Mac kullanıyorsanız, sunucuya IP adresini bilmek yeterlidir.
- 26:07Linux ve Mac'ten Sunucuya Bağlanma
- Linux'ta SSH root komutu ile sunucuya bağlanabilirsiniz.
- Mac'te Command+Space tuşlarına basıp terminal yazarak SSH bağlantısı kurabilirsiniz.
- Bağlantı kurulduktan sonra terminalde "ifconfig" komutu ile sunucunun IP adresini görebilirsiniz.
- 27:47Windows'tan Sunucuya Bağlanma
- Windows'ta SSH bağlantısı için Putty adlı ücretsiz bir araç kullanabilirsiniz.
- Putty'de host kısmına sunucunun IP adresini, connection type'dan SSH'i seçip portu otomatik olarak 22 olarak ayarlayabilirsiniz.
- Alternatif olarak, Digital Ocean'ın access console menüsünden web üzerinden terminal bağlantısı kurabilirsiniz.
- 32:00Sunucu Hazırlığı
- Sunucuya bağlandığınızda bağlantı kesilebilir, bu durumda terminali kapatıp tekrar bağlanmanız yeterlidir.
- Web sitesi için gerekli PHP ve MySQL gibi gereksinimler sunucuda zaten mevcuttur.
- GitHub'dan web sitesi kodlarını "git clone" komutu ile sunucuya indirebilirsiniz.
- 34:23Apache Kurulumu
- Web sitesi için "var/www/html" klasörünün olması gerekir.
- Apache servisi yoksa "app install apache2" komutu ile kurabilirsiniz.
- Kurulum sırasında hata alırsanız "app update fix missing" komutu ile eksik paketleri yükleyebilirsiniz.
- 36:23Web Sunucusuna Dosya Yükleme
- Var klasörüne giriş yapılarak, ls komutu ile www klasörünün içeriği görüntüleniyor.
- Git clone komutu ile GitHub'dan kopyalanan satırlar www klasörüne yükleniyor.
- Yüklenen dosyalar arasında wp klasörü bulunuyor ve bu klasörde GitHub'da görülen içerikler yer alıyor.
- 37:33Docker ile Kurulum
- Web servisini yüklemek için Docker kullanılıyor ve bu işlem sadece bir satır komutla yapılabiliyor.
- Docker ve Docker Compose kurulumu için app-install komutu kullanılıyor.
- Docker Compose up komutu ile sunucu otomatik olarak kuruluyor ve gerekli bağımlılıklar (MySQL, PHP vb.) indiriliyor.
- 40:42Kurulum Hatası ve Çözümü
- Kurulum sırasında 80 portuna bağlanılamadığı hatası alınıyor çünkü bu port Apache servisi tarafından kullanılıyor.
- Hangi portun kimin kullandığını görmek için lsof -i 80 portu komutu kullanılıyor.
- Apache servislerini öldürmek için kill komutu ile PID'ler siliniyor ve Docker Compose up komutu tekrar çalıştırılıyor.
- 43:21CTF'ye Başlama
- Kurulum tamamlandıktan sonra IP adresine gidildiğinde PHP Laravel ile yazılmış bir web sitesi görüntüleniyor.
- Swapy'nin dökümantasyonuna gidildiğinde 10 farklı challenge bulunuyor.
- CTF'leri çözmek için BurpSuite ve Postman programlarına ihtiyaç duyuluyor.