• Buradasın

    API Güvenliği

    Özetteki ilgi çekici içerikler

    • JWT (JSON Web Token) Kapsamlı Eğitim Videosu

      Bu video, bir eğitmen tarafından sunulan teknik bir eğitim içeriğidir. Eğitmen, JWT (JSON Web Token) konusunu detaylı şekilde anlatmakta ve Bob ve Alice gibi örnek karakterler kullanarak konuları açıklamaktadır. Video, JWT'nin ne olduğu, neden icat edildiği, yapısı (header, payload ve signature), kullanım alanları ve güvenlik önlemleri hakkında kapsamlı bilgiler sunmaktadır. İçerik, JWT token'larının nasıl oluşturulacağı, doğrulanacağı, expire kontrolü ve güvenlik zaafiyetleri (hash kırma, non-algoritma kullanımı, local storage'da tutulması) gibi konuları adım adım ele almaktadır. Eğitim, monolit ve micro service mimarileri arasındaki farkları açıklayarak başlamakta, ardından AGEMAC kripto fonksiyonunun tanıtımı, Python'da JWT token oluşturma ve doğrulama kodları gösterilmektedir. Video, JWT token'larının dandikliği ve invalidate edilmesinin zorlukları gibi güvenlik sorunlarını ele alarak sonlanmakta ve daha ileri konuların (OpenID, authorization flow'lar, public-private key) sonraki videolarda ele alınacağı belirtilmektedir.

      • youtube.com

    • Apache JAX-RS ve Spring Security Kullanımı Eğitimi

      Bu video, Kodçuk Rahman Usta tarafından sunulan bir eğitim içeriğidir. Eğitmen, Apache JAX-RS ve Spring Security teknolojilerini tanıtmaktadır. Video, öncelikle Apache JAX-RS ve Spring Security'in ne olduğunu açıklayarak başlıyor, ardından authentication ve authorization kavramlarını detaylı şekilde anlatıyor. Daha sonra bir örnek uygulama üzerinden bu teknolojilerin nasıl kullanılacağı gösteriliyor. Örnek uygulamada, web servis endpoint'i, Spring Security filtreleri, rol tabanlı erişim kontrolü ve müşteri servisi implementasyonu gibi konular adım adım inceleniyor. Eğitim içeriğinde ayrıca müşteri ekleme, güncelleme ve silme işlemlerinin nasıl yapıldığı, sunucu ve istemci arasındaki iletişim, HTTP metodları (GET, POST, PUT, DELETE), XML ve JSON veri formatları, SecurityExceptionMapper kullanarak hata kodlarının nasıl değiştirileceği gibi konular da ele alınıyor.

      • youtube.com

    • Identity Servisi Oluşturma ve Token Doğrulama Eğitimi

      Bu video, bir eğitim içeriği olup, konuşmacı Identity Servisi oluşturma ve token doğrulama mekanizmasını adım adım anlatmaktadır. Video, önceki videoda notification service işlemlerini bitirdiğini belirten konuşmacının, bu videoda üst taraftaki servislerle ilgileneceğini göstermektedir. İçerikte, Identity Server kullanmak yerine sadece token generate eden basit bir application tasarlama süreci anlatılmaktadır. Model oluşturma, servis interface'i, CVT token kullanımı, anahtar oluşturma ve token doğrulama mekanizması detaylı olarak gösterilmektedir. Eğitimde ayrıca, token'ın API Gateway, basket servis ve order servislerinde nasıl kontrol edileceği, payload kısmının nasıl oluşturulacağı ve secret key ile nasıl doğrulanacağı açıklanmaktadır. Express framework'ünde çalışan bir Identity Service projesi üzerinden kullanıcı adı ve şifre ile yapılan bir POST isteği üzerinden token oluşturma ve doğrulama işlemlerinin nasıl yapıldığı gösterilmektedir.

      • youtube.com

    • REST API Tasarım ve Kullanım Eğitimi

      Bu video, 20 yıllık iş tecrübesi olan bir eğitmen tarafından sunulan teknik bir eğitim içeriğidir. Eğitmen, kendi deneyimlerini ve uygulamalarını paylaşarak konuyu anlatmaktadır. Video, REST API tasarımının temel prensiplerini ve HTTP metotlarının (GET, POST, PUT, PATCH, DELETE, OPTIONS, HEAD) doğru kullanımını detaylı şekilde ele almaktadır. Eğitmen, her bir HTTP metotunun ne zaman ve nasıl kullanılacağını, durum kodlarının (200, 201, 400, 404, 409) anlamlarını ve API endpoint'lerinin nasıl tanımlanması gerektiğini açıklamaktadır. Ayrıca API versiyonlaması ve güvenlik konuları (HTTPS, JWT) da videoda yer almaktadır. Eğitmen, kendi projelerindeki uygulamaları örnek göstererek, POST metodunu oluşturma, PUT metodunu güncelleme için kullandığını ve PATCH metodunu tercih etmediğini belirtmektedir. Video, gerçek projelerde sık karşılaşılan hatalar ve bunların nasıl önlenmesi gerektiği konusunda pratik bilgiler sunmaktadır. OpenAPI belgelerinin önemi ve Swagger gibi araçların kullanımı hakkında da bilgiler verilmektedir.

      • youtube.com

    • ChatGPT ile Güvenlik Zaafiyetleri Analizi ve Çözüm Yarışması

      Bu video, bir güvenlik uzmanı ve diğer katılımcıların (Sleeping, Neo, SSG, Python Tolga) ChatGPT yapay zeka aracı kullanarak güvenlik zaafiyetleri çözüm yarışmasını eleştirel bir şekilde değerlendirdikleri bir teknik tartışmayı içermektedir. Videoda, Sonar Source firması tarafından her yıl yayınlanan güvenlik zaafiyetleri challengelarının çözüm süreci gösterilmektedir. Katılımcılar, farklı programlama dillerinde (PHP, Java, JavaScript, Python) bulunan güvenlik zafiyetlerini önce kendi başlarına çözmeye çalışıp, ardından ChatGPT ile karşılaştırmalı bir değerlendirme yapmaktadır. Videoda XSS, veritabanı enjeksiyonu, open redirect gibi güvenlik zafiyetleri ve şifreleme modları (ECB, CBC) detaylı olarak incelenmektedir. Videoda ayrıca parola sıfırlama token üretimi, API kontrol kodlarında zafiyet tespiti, case sensitivity gibi konular ele alınmakta ve ChatGPT'in bu tür analizlerde nasıl kullanılabileceği tartışılmaktadır. Katılımcılar, yapay zekanın mesleğin geleceğine etkisi hakkında da görüşlerini paylaşmaktadır.

      • youtube.com

    • ASP.NET Core'da JSON Web Token ile Yetkilendirme Eğitimi

      Bu video, bir eğitmen tarafından sunulan teknik bir eğitim içeriğidir. Eğitmen, ASP.NET Core uygulamalarında JSON Web Token (JWT) kullanarak yetkilendirme yapma sürecini adım adım göstermektedir. Video, kimlik doğrulama (authentication) ve yetkilendirme (authorization) kavramlarını açıklayarak başlıyor, ardından JWT'nin yapısını ve kullanımını anlatıyor. Eğitmen, token oluşturma, saklama ve yetkilendirme kontrolü için gerekli kodları yazarak, middleware oluşturma, token doğrulama ve hata yönetimi işlemlerini detaylı olarak gösteriyor. Eğitim içeriğinde Thunder Client kullanılarak token simülasyonu yapılıyor, veritabanından kullanıcı bulma işlemleri gösteriliyor ve farklı token gönderildiğinde nasıl hata mesajı alınacağı test ediliyor. Video, login işlemi sonrası kullanıcıya özel token verme ve bu token sayesinde yetkilendirme kontrolü yapma sürecini kapsamlı şekilde ele alıyor.

      • youtube.com

    • Angular Uygulamasında API Güvenliği ve Token Yönetimi Eğitimi

      Bu video, bir eğitmen tarafından sunulan Angular uygulamasında API güvenliği ve token yönetimi konulu kapsamlı bir eğitim serisidir. Eğitim, API güvenliği ve token kullanımı ile başlayıp, kullanıcı kayıt ve giriş işlemlerinin nasıl yapılacağını adım adım göstermektedir. Video boyunca Postman kullanarak token alma, token ile veri çekme, Angular Guard ve Interceptors kavramlarını kullanarak token yönetimi, HTTP interceptor class'ını kendi yazma ve token'ı local storage'da saklama gibi konular ele alınmaktadır. Eğitim serisinin son bölümünde, bir sonraki videoda error handling (hata yönetimi) ve reusable servisler (genel servisler) konularının işleneceği belirtilmektedir. Eğitmen, bu uzun eğitim serisinin sonunda izleyicilere teşekkür ederek, gelecek videoların iki haftada bir Sharpa Blog'da yayınlanacağını duyurmuştur.

      • youtube.com

    • Identity Server Eğitimi Bölüm 2

      Bu video, Ali Doğan tarafından sunulan bir Identity Server eğitim serisinin ikinci bölümüdür. Eğitmen, Identity Server'ın kurulumu, yapılandırılması ve token yönetimi konularını adım adım göstermektedir. Video, Identity Server uygulamasının veritabanı ayarları, SeedData sınıfı oluşturma, API resource, user claims, scope ve client yapılandırması gibi temel konuları kapsamaktadır. Ayrıca kullanıcı kayıt işlemleri, token alma ve JWT.io üzerinden token içeriğini görüntüleme süreçleri detaylı olarak anlatılmaktadır. Eğitim serisinin ilerleyen bölümlerinde token doğrulama, Identity Server'ın web tarafına giriş ve sosyal medya üzerinden login işlemleri anlatılacağı belirtilmektedir. Video, Identity Server'ın API arası token isteme, web arayüzünde token yönetimi ve refresh token kullanımı gibi kritik konuları içermektedir.

      • youtube.com

    • API Güvenliği Eğitim Serisi

      Bu video, bir eğitmen tarafından sunulan API güvenliği konulu kapsamlı bir eğitim serisinin ilk bölümüdür. Eğitmen, web sızma testleri ve mobil etik hacklik eğitimlerinin bir parçası olarak bu seriyi hazırladığını belirtiyor. Video, API güvenliği konusunu ele alarak on aşamalı bir CTF (Capture The Flag) çözümü sunuyor. İçerikte API'lerin ne olduğu, güvenli veya güvensiz şekilde tasarlanabileceği, Burp Suite aracı kullanarak API isteklerini yakalama, OVASP Top 10 API açıkları ve Root Task platformundan alınan 10 farklı API açıkını içeren kaynakların indirilmesi anlatılıyor. Ayrıca, Digital Ocean platformunda sunucu kurulumu, SSH bağlantısı kurma, WordPress ve Apache kurulumu, Docker Compose ile otomatik kurulum adımları detaylı olarak gösteriliyor. Eğitim serisi, hem web sızma testleri hem de mobil güvenlik eğitimlerinde yer alacak olup, bir sonraki derste Burp Suite ve Postman programlarının indirilmesi ve kullanımı anlatılacağı belirtiliyor.

      • youtube.com

    • Kullanıcı Yetki Kontrolü ve Güvenlik Eğitimi

      Bu video, bir eğitmen tarafından sunulan yazılım geliştirme eğitim içeriğidir. Eğitmen, kullanıcı yetki kontrolü ve güvenlik konularını detaylı şekilde anlatmaktadır. Video, kullanıcıların yapabilecekleri ve yapamayacakları işlemleri kontrol etme yöntemlerini ele almaktadır. İlk olarak JavaScript ve local storage kullanarak kullanıcıların kendi oluşturdukları kayıtları düzenleyebilmesini sağlayan bir yöntem gösterilir, ardından JWT token mekanizması kullanılarak hem kullanıcı tarafında hem de sunucu tarafında yetki kontrolü yapma teknikleri anlatılır. Eğitim içeriğinde ayrıca Postman aracı kullanılarak API istekleri test edilmekte ve silme işlemleri için güvenlik kontrolleri uygulanmaktadır. YouTube örneği üzerinden, yetkisiz kullanıcıların başkalarının kayıtlarını silmesinin nasıl büyük bir kaos yaratabileceği gösterilerek, çift taraflı yetki kontrolünün önemi vurgulanmaktadır.

      • youtube.com

    • ASP.NET Web API'de JWT Token Oluşturma ve Yetkilendirme Eğitimi

      Bu video, bir eğitim içeriği olup, konuşmacı ASP.NET Web API'lerinde JWT (JSON Web Token) token oluşturma ve yetkilendirme konularını adım adım göstermektedir. Video, JWT token oluşturma sürecini üç ana bölümden oluşmaktadır: İlk olarak token oluşturma ve içine bilgi saklama, ardından token'ın doğrulanması ve son olarak ASP.NET Web API'lerinde JWT token kullanımı ve authorization yapılandırması. Eğitimde token'ın içinde kullanıcı adı, e-posta gibi bilgilerin nasıl saklanacağı, claim'lerin nasıl oluşturulacağı ve signing credentials'in nasıl yapılandırılacağı detaylı olarak anlatılmaktadır. Eğitimde ayrıca token'ın geçerlilik süresi, şifreleme yöntemleri, token'ların veritabanına kaydedilmesi ve Postman kullanarak token ile API'ye erişim gibi konular da ele alınmaktadır. Program.cs dosyasında JWT Bearer Authentication yapılandırması ve AppConfig.js dosyasında token yapılandırma parametrelerinin nasıl ayarlanacağı da gösterilmektedir.

      • youtube.com

    • API Güvenlik Testi ve Pentesting Eğitimi

      Bu video, bir eğitmen tarafından sunulan API güvenlik testi ve pentesting eğitim serisinin bir bölümüdür. Eğitmen, Postman ve Burp Suite gibi araçları kullanarak API güvenlik açıklarını tespit etme yöntemlerini göstermektedir. Video, API güvenlik testlerinin adım adım nasıl yapılacağını göstermektedir. İçerikte login ve get details fonksiyonlarının test edilmesi, brute force saldırısı uygulaması, gereksiz bilgilerin sızdırılması (data exposure), kaynak eksikliği ve rate limiting sorunları ele alınmaktadır. Eğitmen, CTF (Capture The Flag) etkinliği üzerinden API güvenlik açıklarını tespit etme sürecini detaylı olarak anlatmaktadır. Videoda ayrıca Android uygulamalarının nasıl çalıştırılacağı, APK dosyalarının ne olduğu ve Android Studio ile emülatör kullanımı da gösterilmektedir. Eğitmen, "The Command App" adlı bir uygulamayı örnek olarak kullanarak, kullanıcı girişi yapma, yorum yazma ve Burp Suite ile API isteklerini yakalama işlemlerini adım adım anlatmaktadır.

      • youtube.com

    • JWT Token Refresh Token Yapısı ve Güvenli Endpoint Oluşturma Eğitimi

      "Kod Kırık" kanalında yayınlanan bu eğitim videosunda, bir eğitmen JWT token yapısı için refresh token altyapısını anlatmaktadır. Video, JWT tokenları için iki farklı refresh token yapısını karşılaştırmakta ve Express framework'de güvenli endpoint oluşturma yöntemlerini açıklamaktadır. Eğitmen önce normal JWT token'ı kullanarak refresh yapma ve custom refresh token kullanarak refresh yapma yöntemlerini avantaj ve dezavantajlarıyla karşılaştırmakta, ardından kod örnekleriyle nasıl uygulanacağını göstermektedir. Ayrıca, token kontrol yapısını bir helper servisine nasıl entegre edebileceğiniz, helper servisi kullanarak daha temiz controller kurulumu yapmanın avantajları, refresh tokenların güvenli hale getirilmesi, veritabanına kaydedilmesi ve belirli aralıklarla silinmesi gibi konulara da değinilmektedir.

      • youtube.com

    • Programlama ve Yazılım Geliştirme Hakkında Soru-Cevap Videosu

      Bu video, bir programlama ve yazılım geliştirme uzmanıyla yapılan soru-cevap formatında bir içeriktir. Konuşmacı, programlama dilleri, framework'ler ve teknolojiler hakkında deneyimli bir uzman olarak izleyicilerin sorularını yanıtlamaktadır. Videoda programlama dilleri, framework'ler (PHP, Laravel, Symfony, React, Angular), web geliştirme süreci, REST API, cloud computing, API güvenliği, MVP kavramı ve yazılımcılık için gerekli çalışma saatleri gibi konular ele alınmaktadır. Konuşmacı, kendi deneyimlerini paylaşarak programlama konularında tavsiyelerde bulunmakta ve izleyicilerin sorularına detaylı cevaplar vermektedir. Ayrıca videoda yazılım sektöründe başarılı olmak için çözüm üretme, takım çalışması, feedback alma ve öğrenme gibi özelliklerin önemi vurgulanmakta, farklı yazılım alanları (operating system, algoritma, IoT, görüntü işleme) ve GitHub'da katkı yapma konuları da ele alınmaktadır.

      • youtube.com

    • CORS (Cross-Origin Resource Sharing) Eğitim Videosu

      Bu video, bir eğitim içeriği olup, konuşmacı CORS (Cross-Origin Resource Sharing) konusunu detaylı şekilde anlatmaktadır. Video, CORS'un ne olduğunu, amacını ve çalışma prensiplerini açıklamaktadır. Konuşmacı öncelikle CORS'un güvensiz originlerden gelen istekleri engelleyerek kaynak paylaşımını sadece güvenilir originler arasında sınırladığını anlatır. Ardından origin kavramını açıklar ve protokol, domain ve port bilgilerinin orijini belirlediğini örneklerle gösterir. Son olarak, CORS isteklerinin nasıl kontrol edildiğini, preflight request kavramını ve CORS konfigürasyonlarının nasıl yapıldığını görsel örneklerle açıklar. Video, uygulama güvenlik serisinin bir parçası olarak sunulmuştur.

      • youtube.com

    • Django REST Framework'de İzin Sistemleri Eğitimi

      Bu video, bir eğitmen tarafından sunulan Django REST Framework'de izin sistemleri (permissions) konulu bir eğitim içeriğidir. Video, Django REST Framework'de API'lerin güvenliğini artırmak için izin sistemlerinin nasıl kullanılacağını göstermektedir. Eğitmen, kitap projesi üzerinden giriş yapmış kullanıcıların sadece görüntüleme izni alması, belirli kullanıcı gruplarına göre yazma yetkilerinin kısıtlanması ve global izin sınıflarının (AllowAny, IsAuthenticated, IsAdminUser, IsReadOnly) kullanımı gibi örnekler vermektedir. Eğitim, settings.py dosyasına "is authenticated" izni ekleyerek tüm API endpoint'ları için global bir politika belirleme, login-logout işlemleri ve izin sınıflarının kullanımını göstermektedir. Ayrıca, admin olarak giriş yaparak tüm izinleri kullanabildiğini ve global izin sınıfını iptal ederek tüm endpoint'ların herkese açık hale geldiğini ve bu durumun güvenlik açısından tehlikeli olabileceğini vurgulamaktadır. Video, önümüzdeki iki videoda izin sistemlerinin daha detaylı işleneceğini belirterek devam edeceğini ifade etmektedir.

      • youtube.com
  • Yazeka sinir ağı makaleleri veya videoları özetliyor