// Terimce

Siber Güvenlik Sözlüğü

Derslerde geçen kavramların hızlı referansı. Asistan da bu sözlükten beslenir.

80 TERİMA → Z

A

3 TERİM
01DERS

Active Directory

Windows ağlarında kimlik ve yetki yöneten dizin servisi. Domain controller ele geçirilirse tüm ağ düşer; pentest'in ana hedefidir.

02DERS

APT

Genelde devlet destekli, hedefe uzun süre gizlice yerleşen ileri seviye tehdit grubu. Sabırlı, çok aşamalı ve özelleştirilmiş araç kullanır.

03DERS

ARP Spoofing

Yerel ağda sahte ARP yanıtlarıyla trafiği saldırgan üzerinden geçirme tekniği; MITM'in klasik yoludur. Savunma: dynamic ARP inspection, statik ARP.

B

7 TERİM
04DERS

Backdoor (Arka Kapı)

Normal kimlik doğrulamayı atlayarak gizli erişim sağlayan mekanizma. Webshell, ek hesap veya truva atı şeklinde olabilir.

05DERS

BEC (CEO Dolandırıcılığı)

Yöneticinin (CEO) e-postasından geliyormuş gibi acil/gizli havale talebi. Savunma: ödeme taleplerini farklı bir kanaldan (telefon) bağımsız doğrula.

06DERS

Bellek Analizi (Memory Forensics)

Sistemin RAM görüntüsünü (Volatility gibi araçlarla) inceleyerek gizli process, enjekte kod ve şifreleri bulma. Diskte iz bırakmayan zararlıyı yakalar.

07DERS

Botnet

Saldırganın uzaktan yönettiği ele geçirilmiş cihazlar ağı; DDoS, spam ve kripto kazımada kullanılır.

08DERS

Brute Force (Kaba Kuvvet)

Parolayı deneme-yanılma ile (tüm kombinasyonlar veya sözlük) kırma. Savunma: uzun passphrase, hız sınırı, hesap kilitleme ve MFA.

09DERS

Buffer Overflow

Bir tampona kapasitesinden fazla veri yazarak bitişik belleği/akışı bozma; kontrol ele geçirme ve RCE'ye yol açabilir. Savunma: sınır kontrolü, ASLR/DEP.

10DERS

Burp Suite

Web uygulaması test proxy'si; istekleri yakalar, değiştirir, tekrar gönderir ve zafiyet tarar. Web pentestinin standart aracıdır.

C

9 TERİM
11DERS

C2 (Komuta-Kontrol)

Ele geçirilen makinenin saldırganın sunucusuyla haberleştiği kanal. 'Beacon' belirli aralıklarla (örn. 60sn) C2'ye sinyal gönderir — düzenli desen tespitte ipucudur.

12DERS

Clickjacking

Görünmez bir iframe ile kullanıcının farkında olmadan tıklamasını sağlama. Savunma: X-Frame-Options / CSP frame-ancestors.

13DERS

CORS

Tarayıcının farklı kaynaklar (origin) arası istekleri kısıtlayan güvenlik mekanizması. Yanlış (Access-Control-Allow-Origin: *) yapılandırma veri sızıntısına yol açar.

14DERS

Credential Stuffing

Başka sızıntılardan elde edilen kullanıcı adı/parola çiftlerini otomatik deneme; parola tekrarını istismar eder. Savunma: MFA, sızıntı kontrolü, hız sınırı.

15DERS

CSP

Sayfanın hangi kaynaklardan script/stil/çerçeve yükleyebileceğini kısıtlayan başlık. XSS etkisini ciddi azaltır (inline script engelleme).

16DERS

CSRF

Kurbanın oturumunu kullanarak, onun haberi olmadan istek gönderten saldırı (örn. ayar değiştirme). Savunma: CSRF token, SameSite çerez ve kritik işlemde yeniden doğrulama.

17DERS

CTF

Güvenlik bulmaca yarışması; çözünce gizli bir 'flag' bulursun. Jeopardy (kategorili sorular) ve Attack-Defense türleri vardır.

18DERS

CVE / CVSS

CVE bilinen bir zafiyetin benzersiz kimliğidir (CVE-2024-XXXX); CVSS ise 0–10 arası önem skorudur. Raporlama ve önceliklendirmede kullanılır.

19DERS

Cyber Kill Chain

Bir saldırının aşamalarını (keşif → silahlandırma → teslim → istismar → kurulum → C2 → eylem) modelleyen çerçeve. Her aşamada savunma fırsatı vardır.

D

2 TERİM
20TERİM

DDoS

Çok sayıda istek/trafikle bir servisi erişilemez kılma saldırısı. DDoS dağıtık (botnet) kaynaklıdır. Savunma: rate limiting, CDN/scrubbing, anycast.

BAĞIMSIZ TERİM
21DERS

Deepfake

Yapay zekayla üretilen sahte video/ses; sosyal mühendislikte (sahte CEO sesi) kullanılır. Doğrulama: ikinci kanaldan teyit, mutabık kelime.

E

2 TERİM
22DERS

EDR

Uç noktalarda (bilgisayar/sunucu) şüpheli davranışı tespit eden, izole eden ve telemetri toplayan ajan tabanlı çözüm (örn. CrowdStrike Falcon).

23DERS

Exfiltration (Veri Sızdırma)

Çalınan veriyi ağ dışına taşıma. DNS tüneli, HTTPS, bulut depolama gibi kanallar kullanılır; anormal giden trafik tespit ipucudur.

F

1 TERİM
24DERS

Firewall (Güvenlik Duvarı)

Ağ trafiğini kurallara göre filtreleyen denetim noktası. Hangi kaynak/hedef/portun geçeceğine karar verir; varsayılan 'reddet' en güvenlisidir.

H

2 TERİM
25DERS

Hashing (Özetleme)

Veriyi tek yönlü sabit uzunlukta bir değere dönüştürme (örn. SHA-256). Parolalar tuzlanmış hash olarak saklanır; geri döndürülemez olmalıdır.

26DERS

Honeypot

Saldırganı cezbetmek için kurulan sahte sistem/servis; erişim girişimleri erken uyarı ve istihbarat sağlar. Honeytoken ise sahte kimlik/dosyadır.

I

4 TERİM
27DERS

IDOR

Bir kaynağa (örn. /api/user/42) yetki kontrolü olmadan, sadece id değiştirilerek erişilebilmesidir. Savunma: her istekte nesne sahipliği/yetki kontrolü.

28DERS

IDS / IPS

IDS şüpheli trafiği tespit edip uyarır; IPS ise ek olarak engeller. İmza ve anomali tabanlı tespit kullanırlar.

29DERS

Insecure Deserialization

Güvenilmeyen serileştirilmiş veriyi nesneye çevirirken zararlı nesne çalıştırma; sıkça RCE ile sonuçlanır. Savunma: imzalı/şemalı veri, beyaz liste.

30DERS

IOC

Bir ihlale işaret eden somut iz: kötü IP/domain, dosya hash'i, registry anahtarı. Tespit ve engelleme için blocklist'lere eklenir.

J

1 TERİM
31DERS

JWT

İmzalı, kendinden-doğrulanan oturum/yetki token'ı (header.payload.signature). Yaygın hatalar: 'alg:none', zayıf imza anahtarı, payload'a güvenme. İmza her zaman doğrulanmalı.

K

2 TERİM
32DERS

Kerberoasting

Active Directory'de servis hesaplarının Kerberos biletlerini alıp çevrimdışı kırarak parola elde etme. Savunma: güçlü servis parolaları, gMSA.

33DERS

KVKK

Kişisel Verilerin Korunması Kanunu. İhlalde genelde 72 saat içinde bildirim, veri minimizasyonu ve ilgili kişi hakları (md.11) gerektirir.

L

1 TERİM
34DERS

Lateral Movement (Yatay Hareket)

Ele geçirilen ilk makineden ağ içindeki diğer sistemlere yayılma (örn. çalınan kimlik bilgileriyle). Hedef genelde domain controller'dır.

M

5 TERİM
35DERS

Malware

Zarar vermek/erişim sağlamak için yazılmış yazılım: virüs, solucan, truva atı, fidye yazılımı, RAT vb. Statik ve dinamik analizle incelenir.

36DERS

Metasploit

Exploit ve payload çerçevesi; bilinen zafiyetleri istismar edip oturum (meterpreter) açmayı kolaylaştırır. Modül tabanlıdır.

37DERS

MFA / 2FA

Parolaya ek bir doğrulama katmanı (kod/uygulama/anahtar). Parola çalınsa bile hesabı korur; mümkünse uygulama tabanlı (TOTP) veya donanım anahtarı kullan.

38DERS

MITM (Ortadaki Adam)

Saldırganın iki taraf arasındaki trafiği araya girip dinlemesi/değiştirmesi. Açık Wi-Fi ve ARP spoofing ile yapılır. Savunma: TLS, HSTS, sertifika doğrulama.

39DERS

MITRE ATT&CK

Saldırgan taktik ve tekniklerinin (TTP) standart matrisi (örn. T1566 Phishing). SOC, tehdit avı ve raporlamada ortak dil sağlar.

N

1 TERİM
40DERS

Nmap

Ağ keşfi ve port/servis tarama aracı. Açık portları, servis sürümlerini ve işletim sistemini tespit eder; pentest keşif aşamasının temelidir.

O

4 TERİM
41DERS

Open Redirect

Uygulamanın doğrulanmamış bir URL'ye yönlendirme yapması; phishing'i meşru görünümlü kılmak için kötüye kullanılır.

42DERS

OSINT

Herkese açık kaynaklardan (site, sosyal medya, sızıntılar) hedef hakkında bilgi toplama. Pentest ve sosyal mühendisliğin keşif aşamasıdır.

43DERS

OTP

Tek kullanımlık doğrulama kodu; bir işlemi onaylar. Kimseyle, hiçbir sayfada paylaşılmaz — kodu isteyen dolandırıcıdır.

44DERS

OWASP Top 10

Web uygulamalarındaki en kritik 10 risk kategorisinin (Broken Access Control, Injection...) düzenli güncellenen listesi. Web güvenliğinin başucu rehberidir.

P

9 TERİM
45DERS

Pass-the-Hash

Parolanın açık halini bilmeden, çalınan NTLM hash'iyle kimlik doğrulama. AD ortamlarında yatay hareket için kullanılır.

46DERS

Path Traversal

../ gibi dizilerle uygulamanın izin verdiği klasörün dışına çıkıp hassas dosyaları okuma (örn. /etc/passwd). Savunma: yol normalizasyonu ve beyaz liste.

47DERS

Payload

Bir zafiyet istismar edildikten sonra çalışacak asıl kod/komut (örn. reverse shell, meterpreter). Exploit kapıyı açar, payload içeri girer.

48DERS

PCAP

Ağ paketlerinin kaydı (Wireshark/tcpdump). Adli analizde C2, exfiltration ve protokol anormallikleri PCAP üzerinden incelenir.

49DERS

Pentest (Sızma Testi)

İzinli, kontrollü saldırı simülasyonu ile sistemlerdeki zafiyetleri bulma ve raporlama. PTES gibi metodolojiler keşif→istismar→raporlama akışını tanımlar.

50DERS

Persistence (Kalıcılık)

Yeniden başlatma sonrası erişimi koruma yöntemi: registry Run anahtarı, zamanlanmış görev (cron), servis veya başlangıç betiği.

51DERS

Phishing (Oltalama)

Sahte e-posta/site ile kullanıcıdan parola, kart veya OTP koparma. Kırmızı bayraklar: sahte alan adı, aciliyet baskısı, beklenmedik ek/link.

52DERS

Privilege Escalation (Yetki Yükseltme)

Sınırlı bir hesaptan admin/root yetkisine geçme. Yanlış yapılandırma, SUID dosyalar veya yama eksikliğinden faydalanır.

53DERS

Prompt Injection

Bir yapay zeka modeline, sistem talimatlarını ezecek/kandıracak girdi vererek istenmeyen davranış elde etme. AI uygulamalarının yeni saldırı yüzeyidir.

R

5 TERİM
54DERS

Ransomware (Fidye Yazılımı)

Dosyaları şifreleyip fidye isteyen zararlı yazılım. Savunma: çevrimdışı yedek, en az yetki, makro/eki açmama ve hızlı izolasyon.

55DERS

RCE

Saldırganın hedef sistemde kendi komutlarını/kodunu çalıştırabilmesi — en kritik zafiyet sınıfı. Genelde güvensiz deserialization, komut enjeksiyonu veya dosya yükleme ile oluşur.

56DERS

Red Team / Blue Team

Red Team saldırıyı taklit eder (gerçekçi senaryo), Blue Team savunur ve tespit eder. Purple Team ikisinin iş birliğidir.

57DERS

Reverse Engineering (Tersine Mühendislik)

Bir ikili dosyayı/yazılımı kaynak koduna ulaşmadan, disassembler/debugger ile çözümleme. Malware'in ne yaptığını anlamak için kullanılır.

58DERS

Rootkit

Varlığını ve diğer zararlıları işletim sistemi seviyesinde gizleyen kötü amaçlı yazılım. Tespiti zordur; bellek/offline analiz gerekir.

S

10 TERİM
59DERS

Sandbox

Şüpheli dosyayı izole, izlenen bir ortamda çalıştırıp davranışını (ağ, dosya, registry) gözlemleme yöntemi. Dinamik malware analizinin temelidir.

60DERS

SIEM

Farklı kaynaklardan log toplayıp korele eden, alarm üreten merkezi platform (örn. Splunk, Elastic). SOC analistinin ana aracıdır.

61DERS

Smishing

SMS yoluyla sahte link/ödeme sayfasına yönlendiren oltalama (örn. 'kargo gümrük ücreti'). Linke değil, kurumun resmi uygulamasına git.

62DERS

SOAR

Güvenlik olaylarına otomatik müdahale (playbook'larla) sağlayan orkestrasyon platformu. SOC'un tekrarlı işleri otomatikleştirir.

63DERS

SOC

Tehditleri 7/24 izleyen, tespit eden ve müdahale eden ekip/merkez. L1 triaj, L2 analiz, L3 tehdit avı katmanlarından oluşur.

64DERS

Sosyal Mühendislik

Teknik açık yerine insanın güvenini, korkusunu veya aciliyetini istismar ederek bilgi/erişim koparma. Phishing, vishing, pretexting ve baiting alt türleridir.

65DERS

SQL Injection

Uygulamanın veritabanı sorgusuna kullanıcı girdisinin güvensizce eklenmesiyle, saldırganın sorguyu değiştirip veri okuması/yazması ya da kimlik doğrulamayı atlamasıdır. Savunma: parametreli sorgular (prepared statements) ve girdi doğrulama.

66DERS

SSL / TLS

İstemci-sunucu trafiğini şifreleyen ve kimlik doğrulayan protokol (HTTPS'in temeli). Sertifika güveni zinciriyle çalışır; eski SSL/TLS sürümleri kullanılmamalı.

67DERS

SSRF

Sunucuyu, saldırganın belirttiği iç/dış adreslere istek atmaya kandırma; iç servislere ve bulut metadata'sına erişim için kullanılır. Savunma: hedef beyaz listesi, iç ağ erişimini kısıtlama.

68DERS

SSTI

Sunucu tarafı şablon motoruna (Jinja2, Twig...) kullanıcı girdisinin enjekte edilmesi; çoğu zaman RCE'ye uzanır.

Ş

1 TERİM
69DERS

Şifreleme (Encryption)

Veriyi anahtarla okunamaz hale getirme; doğru anahtarla geri çözülür. Simetrik (AES) ve asimetrik (RSA) türleri vardır. Hashing'den farkı: geri çözülebilir.

T

1 TERİM
70DERS

Threat Intelligence

Tehdit aktörleri, TTP'leri ve IOC'ler hakkında toplanan/işlenen bilgi. Savunmayı proaktif yapar; MITRE ATT&CK ortak dili sağlar.

V

2 TERİM
71DERS

Vishing

Telefonla (sesli) yapılan sosyal mühendislik; 'banka güvenlik' gibi kimliğe bürünüp OTP/kart bilgisi ister. Kural: banka asla telefonda OTP/şifre istemez.

72DERS

VPN

Trafiği şifreli bir tünelden geçirerek gizlilik ve güvenli uzaktan erişim sağlar. Kurumsalda iç ağa güvenli bağlantı için kullanılır.

W

3 TERİM
73DERS

WAF

Web uygulamalarına gelen istekleri (SQLi, XSS imzaları) filtreleyen güvenlik katmanı. Tek başına yeterli değildir, derinlemesine savunmanın parçasıdır.

74DERS

Webshell

Sunucuya yüklenen ve URL üzerinden komut çalıştıran zararlı betik (örn. eval(base64_decode(...))). Genelde kısıtlanmamış dosya yükleme ile bırakılır.

75DERS

Wireshark

Ağ paketlerini yakalayıp derinlemesine inceleyen analizör. Protokol anormalliği, C2 ve veri sızdırma tespitinde kullanılır.

X

2 TERİM
76DERS

XSS (Cross-Site Scripting)

Saldırganın bir web sayfasına zararlı JavaScript enjekte edip başka kullanıcıların tarayıcısında çalıştırmasıdır (çerez çalma, oturum ele geçirme). Savunma: çıktı kodlama, CSP ve HttpOnly çerezler.

77DERS

XXE

XML ayrıştırıcısının dış varlıkları (external entity) işlemesinden faydalanarak dosya okuma, SSRF veya DoS yapma. Savunma: dış varlık işlemeyi kapat.

Y

1 TERİM
78DERS

YARA

Dosyalardaki örüntülerle (string/byte imzaları) zararlı yazılımı tanımlayan kural dili. Statik analiz ve avlamada kullanılır.

Z

2 TERİM
79DERS

Zero Trust

'Asla güvenme, daima doğrula' ilkesi: ağ içi/dışı fark etmez, her erişim kimlik ve cihaz durumuna göre sürekli doğrulanır.

80DERS

Zero-day (Sıfırıncı Gün)

Üreticinin henüz bilmediği/yamamadığı, kamuya açık yaması olmayan zafiyet. İstismarı çok değerli ve tehlikelidir.