OAuth, üçüncü parti web sitelerine şifresiz erişim sağlayan açık standartlı protokoldür. HTTP ile çalışır ve access tokenleri aracılığıyla güvenli temsili erişim sağlar. OpenID ile bütünleşik ancak ondan farklı bir servistir
GET retrieves data from server. POST sends data to create new resource. PUT updates or replaces existing resource. DELETE removes resource from server
Bu video, bir eğitmen tarafından sunulan teknik bir eğitim içeriğidir. Eğitmen, ASP.NET Core uygulamalarında JSON Web Token (JWT) kullanarak yetkilendirme yapma sürecini adım adım göstermektedir.. Video, kimlik doğrulama (authentication) ve yetkilendirme (authorization) kavramlarını açıklayarak başlıyor, ardından JWT'nin yapısını ve kullanımını anlatıyor. Eğitmen, token oluşturma, saklama ve yetkilendirme kontrolü için gerekli kodları yazarak, middleware oluşturma, token doğrulama ve hata yönetimi işlemlerini detaylı olarak gösteriyor.. Eğitim içeriğinde Thunder Client kullanılarak token simülasyonu yapılıyor, veritabanından kullanıcı bulma işlemleri gösteriliyor ve farklı token gönderildiğinde nasıl hata mesajı alınacağı test ediliyor. Video, login işlemi sonrası kullanıcıya özel token verme ve bu token sayesinde yetkilendirme kontrolü yapma sürecini kapsamlı şekilde ele alıyor.
Bu video, bir eğitmen tarafından sunulan API güvenlik testi ve pentesting eğitim serisinin bir bölümüdür. Eğitmen, Postman ve Burp Suite gibi araçları kullanarak API güvenlik açıklarını tespit etme yöntemlerini göstermektedir.. Video, API güvenlik testlerinin adım adım nasıl yapılacağını göstermektedir. İçerikte login ve get details fonksiyonlarının test edilmesi, brute force saldırısı uygulaması, gereksiz bilgilerin sızdırılması (data exposure), kaynak eksikliği ve rate limiting sorunları ele alınmaktadır. Eğitmen, CTF (Capture The Flag) etkinliği üzerinden API güvenlik açıklarını tespit etme sürecini detaylı olarak anlatmaktadır.. Videoda ayrıca Android uygulamalarının nasıl çalıştırılacağı, APK dosyalarının ne olduğu ve Android Studio ile emülatör kullanımı da gösterilmektedir. Eğitmen, "The Command App" adlı bir uygulamayı örnek olarak kullanarak, kullanıcı girişi yapma, yorum yazma ve Burp Suite ile API isteklerini yakalama işlemlerini adım adım anlatmaktadır.
Bu video, bir güvenlik uzmanı ve diğer katılımcıların (Sleeping, Neo, SSG, Python Tolga) ChatGPT yapay zeka aracı kullanarak güvenlik zaafiyetleri çözüm yarışmasını eleştirel bir şekilde değerlendirdikleri bir teknik tartışmayı içermektedir.. Videoda, Sonar Source firması tarafından her yıl yayınlanan güvenlik zaafiyetleri challengelarının çözüm süreci gösterilmektedir. Katılımcılar, farklı programlama dillerinde (PHP, Java, JavaScript, Python) bulunan güvenlik zafiyetlerini önce kendi başlarına çözmeye çalışıp, ardından ChatGPT ile karşılaştırmalı bir değerlendirme yapmaktadır. Videoda XSS, veritabanı enjeksiyonu, open redirect gibi güvenlik zafiyetleri ve şifreleme modları (ECB, CBC) detaylı olarak incelenmektedir.. Videoda ayrıca parola sıfırlama token üretimi, API kontrol kodlarında zafiyet tespiti, case sensitivity gibi konular ele alınmakta ve ChatGPT'in bu tür analizlerde nasıl kullanılabileceği tartışılmaktadır. Katılımcılar, yapay zekanın mesleğin geleceğine etkisi hakkında da görüşlerini paylaşmaktadır.
Mutual TLS enables mutual authentication between client and server. Both parties verify their private keys and certificates. Used in Zero Trust security framework for user and device verification
Bu video, bir eğitmen tarafından sunulan teknik bir eğitim içeriğidir. Eğitmen, JWT (JSON Web Token) konusunu detaylı şekilde anlatmakta ve Bob ve Alice gibi örnek karakterler kullanarak konuları açıklamaktadır.. Video, JWT'nin ne olduğu, neden icat edildiği, yapısı (header, payload ve signature), kullanım alanları ve güvenlik önlemleri hakkında kapsamlı bilgiler sunmaktadır. İçerik, JWT token'larının nasıl oluşturulacağı, doğrulanacağı, expire kontrolü ve güvenlik zaafiyetleri (hash kırma, non-algoritma kullanımı, local storage'da tutulması) gibi konuları adım adım ele almaktadır.. Eğitim, monolit ve micro service mimarileri arasındaki farkları açıklayarak başlamakta, ardından AGEMAC kripto fonksiyonunun tanıtımı, Python'da JWT token oluşturma ve doğrulama kodları gösterilmektedir. Video, JWT token'larının dandikliği ve invalidate edilmesinin zorlukları gibi güvenlik sorunlarını ele alarak sonlanmakta ve daha ileri konuların (OpenID, authorization flow'lar, public-private key) sonraki videolarda ele alınacağı belirtilmektedir.
Permissions determine access to API resources alongside authentication. Permission checks run at view start before any other code. Default permission policy is unrestricted unless explicitly set
API, yazılım bileşenlerinin iletişim kurmasını sağlayan arabirimdir. İstemci-sunucu mimarisi üzerinden çalışır. REST API'leri günümüzde en popüler ve esnek API türüdür
"Kod Kırık" kanalında yayınlanan bu eğitim videosunda, bir eğitmen JWT token yapısı için refresh token altyapısını anlatmaktadır.. Video, JWT tokenları için iki farklı refresh token yapısını karşılaştırmakta ve Express framework'de güvenli endpoint oluşturma yöntemlerini açıklamaktadır. Eğitmen önce normal JWT token'ı kullanarak refresh yapma ve custom refresh token kullanarak refresh yapma yöntemlerini avantaj ve dezavantajlarıyla karşılaştırmakta, ardından kod örnekleriyle nasıl uygulanacağını göstermektedir.. Ayrıca, token kontrol yapısını bir helper servisine nasıl entegre edebileceğiniz, helper servisi kullanarak daha temiz controller kurulumu yapmanın avantajları, refresh tokenların güvenli hale getirilmesi, veritabanına kaydedilmesi ve belirli aralıklarla silinmesi gibi konulara da değinilmektedir.
Bu video, Kodçuk Rahman Usta tarafından sunulan bir eğitim içeriğidir. Eğitmen, Apache JAX-RS ve Spring Security teknolojilerini tanıtmaktadır.. Video, öncelikle Apache JAX-RS ve Spring Security'in ne olduğunu açıklayarak başlıyor, ardından authentication ve authorization kavramlarını detaylı şekilde anlatıyor. Daha sonra bir örnek uygulama üzerinden bu teknolojilerin nasıl kullanılacağı gösteriliyor. Örnek uygulamada, web servis endpoint'i, Spring Security filtreleri, rol tabanlı erişim kontrolü ve müşteri servisi implementasyonu gibi konular adım adım inceleniyor.. Eğitim içeriğinde ayrıca müşteri ekleme, güncelleme ve silme işlemlerinin nasıl yapıldığı, sunucu ve istemci arasındaki iletişim, HTTP metodları (GET, POST, PUT, DELETE), XML ve JSON veri formatları, SecurityExceptionMapper kullanarak hata kodlarının nasıl değiştirileceği gibi konular da ele alınıyor.
Bu video, bir eğitmen tarafından sunulan Angular uygulamasında API güvenliği ve token yönetimi konulu kapsamlı bir eğitim serisidir.. Eğitim, API güvenliği ve token kullanımı ile başlayıp, kullanıcı kayıt ve giriş işlemlerinin nasıl yapılacağını adım adım göstermektedir. Video boyunca Postman kullanarak token alma, token ile veri çekme, Angular Guard ve Interceptors kavramlarını kullanarak token yönetimi, HTTP interceptor class'ını kendi yazma ve token'ı local storage'da saklama gibi konular ele alınmaktadır.. Eğitim serisinin son bölümünde, bir sonraki videoda error handling (hata yönetimi) ve reusable servisler (genel servisler) konularının işleneceği belirtilmektedir. Eğitmen, bu uzun eğitim serisinin sonunda izleyicilere teşekkür ederek, gelecek videoların iki haftada bir Sharpa Blog'da yayınlanacağını duyurmuştur.
Google AI Studio'da birkaç tıklamayla API anahtarı oluşturulabilir. İlk test için geçici anahtar kullanılabilir ancak güvenli değildir
Bu video, bir eğitim içeriği olup, konuşmacı Identity Servisi oluşturma ve token doğrulama mekanizmasını adım adım anlatmaktadır.. Video, önceki videoda notification service işlemlerini bitirdiğini belirten konuşmacının, bu videoda üst taraftaki servislerle ilgileneceğini göstermektedir. İçerikte, Identity Server kullanmak yerine sadece token generate eden basit bir application tasarlama süreci anlatılmaktadır. Model oluşturma, servis interface'i, CVT token kullanımı, anahtar oluşturma ve token doğrulama mekanizması detaylı olarak gösterilmektedir.. Eğitimde ayrıca, token'ın API Gateway, basket servis ve order servislerinde nasıl kontrol edileceği, payload kısmının nasıl oluşturulacağı ve secret key ile nasıl doğrulanacağı açıklanmaktadır. Express framework'ünde çalışan bir Identity Service projesi üzerinden kullanıcı adı ve şifre ile yapılan bir POST isteği üzerinden token oluşturma ve doğrulama işlemlerinin nasıl yapıldığı gösterilmektedir.
Bu video, bir programlama ve yazılım geliştirme uzmanıyla yapılan soru-cevap formatında bir içeriktir. Konuşmacı, programlama dilleri, framework'ler ve teknolojiler hakkında deneyimli bir uzman olarak izleyicilerin sorularını yanıtlamaktadır.. Videoda programlama dilleri, framework'ler (PHP, Laravel, Symfony, React, Angular), web geliştirme süreci, REST API, cloud computing, API güvenliği, MVP kavramı ve yazılımcılık için gerekli çalışma saatleri gibi konular ele alınmaktadır. Konuşmacı, kendi deneyimlerini paylaşarak programlama konularında tavsiyelerde bulunmakta ve izleyicilerin sorularına detaylı cevaplar vermektedir.. Ayrıca videoda yazılım sektöründe başarılı olmak için çözüm üretme, takım çalışması, feedback alma ve öğrenme gibi özelliklerin önemi vurgulanmakta, farklı yazılım alanları (operating system, algoritma, IoT, görüntü işleme) ve GitHub'da katkı yapma konuları da ele alınmaktadır.
Bu video, bir eğitim içeriği olup, konuşmacı CORS (Cross-Origin Resource Sharing) konusunu detaylı şekilde anlatmaktadır.. Video, CORS'un ne olduğunu, amacını ve çalışma prensiplerini açıklamaktadır. Konuşmacı öncelikle CORS'un güvensiz originlerden gelen istekleri engelleyerek kaynak paylaşımını sadece güvenilir originler arasında sınırladığını anlatır. Ardından origin kavramını açıklar ve protokol, domain ve port bilgilerinin orijini belirlediğini örneklerle gösterir. Son olarak, CORS isteklerinin nasıl kontrol edildiğini, preflight request kavramını ve CORS konfigürasyonlarının nasıl yapıldığını görsel örneklerle açıklar. Video, uygulama güvenlik serisinin bir parçası olarak sunulmuştur.
Bu video, bir eğitmen tarafından sunulan Django REST Framework'de izin sistemleri (permissions) konulu bir eğitim içeriğidir.. Video, Django REST Framework'de API'lerin güvenliğini artırmak için izin sistemlerinin nasıl kullanılacağını göstermektedir. Eğitmen, kitap projesi üzerinden giriş yapmış kullanıcıların sadece görüntüleme izni alması, belirli kullanıcı gruplarına göre yazma yetkilerinin kısıtlanması ve global izin sınıflarının (AllowAny, IsAuthenticated, IsAdminUser, IsReadOnly) kullanımı gibi örnekler vermektedir.. Eğitim, settings.py dosyasına "is authenticated" izni ekleyerek tüm API endpoint'ları için global bir politika belirleme, login-logout işlemleri ve izin sınıflarının kullanımını göstermektedir. Ayrıca, admin olarak giriş yaparak tüm izinleri kullanabildiğini ve global izin sınıfını iptal ederek tüm endpoint'ların herkese açık hale geldiğini ve bu durumun güvenlik açısından tehlikeli olabileceğini vurgulamaktadır. Video, önümüzdeki iki videoda izin sistemlerinin daha detaylı işleneceğini belirterek devam edeceğini ifade etmektedir.
Bu video, bir eğitmen tarafından sunulan API güvenliği konulu kapsamlı bir eğitim serisinin ilk bölümüdür. Eğitmen, web sızma testleri ve mobil etik hacklik eğitimlerinin bir parçası olarak bu seriyi hazırladığını belirtiyor.. Video, API güvenliği konusunu ele alarak on aşamalı bir CTF (Capture The Flag) çözümü sunuyor. İçerikte API'lerin ne olduğu, güvenli veya güvensiz şekilde tasarlanabileceği, Burp Suite aracı kullanarak API isteklerini yakalama, OVASP Top 10 API açıkları ve Root Task platformundan alınan 10 farklı API açıkını içeren kaynakların indirilmesi anlatılıyor. Ayrıca, Digital Ocean platformunda sunucu kurulumu, SSH bağlantısı kurma, WordPress ve Apache kurulumu, Docker Compose ile otomatik kurulum adımları detaylı olarak gösteriliyor.. Eğitim serisi, hem web sızma testleri hem de mobil güvenlik eğitimlerinde yer alacak olup, bir sonraki derste Burp Suite ve Postman programlarının indirilmesi ve kullanımı anlatılacağı belirtiliyor.