Derslerde geçen kavramların hızlı referansı. Asistan da bu sözlükten beslenir.
Windows ağlarında kimlik ve yetki yöneten dizin servisi. Domain controller ele geçirilirse tüm ağ düşer; pentest'in ana hedefidir.
Genelde devlet destekli, hedefe uzun süre gizlice yerleşen ileri seviye tehdit grubu. Sabırlı, çok aşamalı ve özelleştirilmiş araç kullanır.
Yerel ağda sahte ARP yanıtlarıyla trafiği saldırgan üzerinden geçirme tekniği; MITM'in klasik yoludur. Savunma: dynamic ARP inspection, statik ARP.
Normal kimlik doğrulamayı atlayarak gizli erişim sağlayan mekanizma. Webshell, ek hesap veya truva atı şeklinde olabilir.
Yöneticinin (CEO) e-postasından geliyormuş gibi acil/gizli havale talebi. Savunma: ödeme taleplerini farklı bir kanaldan (telefon) bağımsız doğrula.
Sistemin RAM görüntüsünü (Volatility gibi araçlarla) inceleyerek gizli process, enjekte kod ve şifreleri bulma. Diskte iz bırakmayan zararlıyı yakalar.
Saldırganın uzaktan yönettiği ele geçirilmiş cihazlar ağı; DDoS, spam ve kripto kazımada kullanılır.
Parolayı deneme-yanılma ile (tüm kombinasyonlar veya sözlük) kırma. Savunma: uzun passphrase, hız sınırı, hesap kilitleme ve MFA.
Bir tampona kapasitesinden fazla veri yazarak bitişik belleği/akışı bozma; kontrol ele geçirme ve RCE'ye yol açabilir. Savunma: sınır kontrolü, ASLR/DEP.
Web uygulaması test proxy'si; istekleri yakalar, değiştirir, tekrar gönderir ve zafiyet tarar. Web pentestinin standart aracıdır.
Ele geçirilen makinenin saldırganın sunucusuyla haberleştiği kanal. 'Beacon' belirli aralıklarla (örn. 60sn) C2'ye sinyal gönderir — düzenli desen tespitte ipucudur.
Görünmez bir iframe ile kullanıcının farkında olmadan tıklamasını sağlama. Savunma: X-Frame-Options / CSP frame-ancestors.
Tarayıcının farklı kaynaklar (origin) arası istekleri kısıtlayan güvenlik mekanizması. Yanlış (Access-Control-Allow-Origin: *) yapılandırma veri sızıntısına yol açar.
Başka sızıntılardan elde edilen kullanıcı adı/parola çiftlerini otomatik deneme; parola tekrarını istismar eder. Savunma: MFA, sızıntı kontrolü, hız sınırı.
Sayfanın hangi kaynaklardan script/stil/çerçeve yükleyebileceğini kısıtlayan başlık. XSS etkisini ciddi azaltır (inline script engelleme).
Kurbanın oturumunu kullanarak, onun haberi olmadan istek gönderten saldırı (örn. ayar değiştirme). Savunma: CSRF token, SameSite çerez ve kritik işlemde yeniden doğrulama.
Güvenlik bulmaca yarışması; çözünce gizli bir 'flag' bulursun. Jeopardy (kategorili sorular) ve Attack-Defense türleri vardır.
CVE bilinen bir zafiyetin benzersiz kimliğidir (CVE-2024-XXXX); CVSS ise 0–10 arası önem skorudur. Raporlama ve önceliklendirmede kullanılır.
Bir saldırının aşamalarını (keşif → silahlandırma → teslim → istismar → kurulum → C2 → eylem) modelleyen çerçeve. Her aşamada savunma fırsatı vardır.
Çok sayıda istek/trafikle bir servisi erişilemez kılma saldırısı. DDoS dağıtık (botnet) kaynaklıdır. Savunma: rate limiting, CDN/scrubbing, anycast.
Yapay zekayla üretilen sahte video/ses; sosyal mühendislikte (sahte CEO sesi) kullanılır. Doğrulama: ikinci kanaldan teyit, mutabık kelime.
Uç noktalarda (bilgisayar/sunucu) şüpheli davranışı tespit eden, izole eden ve telemetri toplayan ajan tabanlı çözüm (örn. CrowdStrike Falcon).
Çalınan veriyi ağ dışına taşıma. DNS tüneli, HTTPS, bulut depolama gibi kanallar kullanılır; anormal giden trafik tespit ipucudur.
Ağ trafiğini kurallara göre filtreleyen denetim noktası. Hangi kaynak/hedef/portun geçeceğine karar verir; varsayılan 'reddet' en güvenlisidir.
Veriyi tek yönlü sabit uzunlukta bir değere dönüştürme (örn. SHA-256). Parolalar tuzlanmış hash olarak saklanır; geri döndürülemez olmalıdır.
Saldırganı cezbetmek için kurulan sahte sistem/servis; erişim girişimleri erken uyarı ve istihbarat sağlar. Honeytoken ise sahte kimlik/dosyadır.
Bir kaynağa (örn. /api/user/42) yetki kontrolü olmadan, sadece id değiştirilerek erişilebilmesidir. Savunma: her istekte nesne sahipliği/yetki kontrolü.
IDS şüpheli trafiği tespit edip uyarır; IPS ise ek olarak engeller. İmza ve anomali tabanlı tespit kullanırlar.
Güvenilmeyen serileştirilmiş veriyi nesneye çevirirken zararlı nesne çalıştırma; sıkça RCE ile sonuçlanır. Savunma: imzalı/şemalı veri, beyaz liste.
Bir ihlale işaret eden somut iz: kötü IP/domain, dosya hash'i, registry anahtarı. Tespit ve engelleme için blocklist'lere eklenir.
İmzalı, kendinden-doğrulanan oturum/yetki token'ı (header.payload.signature). Yaygın hatalar: 'alg:none', zayıf imza anahtarı, payload'a güvenme. İmza her zaman doğrulanmalı.
Active Directory'de servis hesaplarının Kerberos biletlerini alıp çevrimdışı kırarak parola elde etme. Savunma: güçlü servis parolaları, gMSA.
Kişisel Verilerin Korunması Kanunu. İhlalde genelde 72 saat içinde bildirim, veri minimizasyonu ve ilgili kişi hakları (md.11) gerektirir.
Ele geçirilen ilk makineden ağ içindeki diğer sistemlere yayılma (örn. çalınan kimlik bilgileriyle). Hedef genelde domain controller'dır.
Zarar vermek/erişim sağlamak için yazılmış yazılım: virüs, solucan, truva atı, fidye yazılımı, RAT vb. Statik ve dinamik analizle incelenir.
Exploit ve payload çerçevesi; bilinen zafiyetleri istismar edip oturum (meterpreter) açmayı kolaylaştırır. Modül tabanlıdır.
Parolaya ek bir doğrulama katmanı (kod/uygulama/anahtar). Parola çalınsa bile hesabı korur; mümkünse uygulama tabanlı (TOTP) veya donanım anahtarı kullan.
Saldırganın iki taraf arasındaki trafiği araya girip dinlemesi/değiştirmesi. Açık Wi-Fi ve ARP spoofing ile yapılır. Savunma: TLS, HSTS, sertifika doğrulama.
Saldırgan taktik ve tekniklerinin (TTP) standart matrisi (örn. T1566 Phishing). SOC, tehdit avı ve raporlamada ortak dil sağlar.
Ağ keşfi ve port/servis tarama aracı. Açık portları, servis sürümlerini ve işletim sistemini tespit eder; pentest keşif aşamasının temelidir.
Uygulamanın doğrulanmamış bir URL'ye yönlendirme yapması; phishing'i meşru görünümlü kılmak için kötüye kullanılır.
Herkese açık kaynaklardan (site, sosyal medya, sızıntılar) hedef hakkında bilgi toplama. Pentest ve sosyal mühendisliğin keşif aşamasıdır.
Tek kullanımlık doğrulama kodu; bir işlemi onaylar. Kimseyle, hiçbir sayfada paylaşılmaz — kodu isteyen dolandırıcıdır.
Web uygulamalarındaki en kritik 10 risk kategorisinin (Broken Access Control, Injection...) düzenli güncellenen listesi. Web güvenliğinin başucu rehberidir.
Parolanın açık halini bilmeden, çalınan NTLM hash'iyle kimlik doğrulama. AD ortamlarında yatay hareket için kullanılır.
../ gibi dizilerle uygulamanın izin verdiği klasörün dışına çıkıp hassas dosyaları okuma (örn. /etc/passwd). Savunma: yol normalizasyonu ve beyaz liste.
Bir zafiyet istismar edildikten sonra çalışacak asıl kod/komut (örn. reverse shell, meterpreter). Exploit kapıyı açar, payload içeri girer.
Ağ paketlerinin kaydı (Wireshark/tcpdump). Adli analizde C2, exfiltration ve protokol anormallikleri PCAP üzerinden incelenir.
İzinli, kontrollü saldırı simülasyonu ile sistemlerdeki zafiyetleri bulma ve raporlama. PTES gibi metodolojiler keşif→istismar→raporlama akışını tanımlar.
Yeniden başlatma sonrası erişimi koruma yöntemi: registry Run anahtarı, zamanlanmış görev (cron), servis veya başlangıç betiği.
Sahte e-posta/site ile kullanıcıdan parola, kart veya OTP koparma. Kırmızı bayraklar: sahte alan adı, aciliyet baskısı, beklenmedik ek/link.
Sınırlı bir hesaptan admin/root yetkisine geçme. Yanlış yapılandırma, SUID dosyalar veya yama eksikliğinden faydalanır.
Bir yapay zeka modeline, sistem talimatlarını ezecek/kandıracak girdi vererek istenmeyen davranış elde etme. AI uygulamalarının yeni saldırı yüzeyidir.
Dosyaları şifreleyip fidye isteyen zararlı yazılım. Savunma: çevrimdışı yedek, en az yetki, makro/eki açmama ve hızlı izolasyon.
Saldırganın hedef sistemde kendi komutlarını/kodunu çalıştırabilmesi — en kritik zafiyet sınıfı. Genelde güvensiz deserialization, komut enjeksiyonu veya dosya yükleme ile oluşur.
Red Team saldırıyı taklit eder (gerçekçi senaryo), Blue Team savunur ve tespit eder. Purple Team ikisinin iş birliğidir.
Bir ikili dosyayı/yazılımı kaynak koduna ulaşmadan, disassembler/debugger ile çözümleme. Malware'in ne yaptığını anlamak için kullanılır.
Varlığını ve diğer zararlıları işletim sistemi seviyesinde gizleyen kötü amaçlı yazılım. Tespiti zordur; bellek/offline analiz gerekir.
Şüpheli dosyayı izole, izlenen bir ortamda çalıştırıp davranışını (ağ, dosya, registry) gözlemleme yöntemi. Dinamik malware analizinin temelidir.
Farklı kaynaklardan log toplayıp korele eden, alarm üreten merkezi platform (örn. Splunk, Elastic). SOC analistinin ana aracıdır.
SMS yoluyla sahte link/ödeme sayfasına yönlendiren oltalama (örn. 'kargo gümrük ücreti'). Linke değil, kurumun resmi uygulamasına git.
Güvenlik olaylarına otomatik müdahale (playbook'larla) sağlayan orkestrasyon platformu. SOC'un tekrarlı işleri otomatikleştirir.
Tehditleri 7/24 izleyen, tespit eden ve müdahale eden ekip/merkez. L1 triaj, L2 analiz, L3 tehdit avı katmanlarından oluşur.
Teknik açık yerine insanın güvenini, korkusunu veya aciliyetini istismar ederek bilgi/erişim koparma. Phishing, vishing, pretexting ve baiting alt türleridir.
Uygulamanın veritabanı sorgusuna kullanıcı girdisinin güvensizce eklenmesiyle, saldırganın sorguyu değiştirip veri okuması/yazması ya da kimlik doğrulamayı atlamasıdır. Savunma: parametreli sorgular (prepared statements) ve girdi doğrulama.
İstemci-sunucu trafiğini şifreleyen ve kimlik doğrulayan protokol (HTTPS'in temeli). Sertifika güveni zinciriyle çalışır; eski SSL/TLS sürümleri kullanılmamalı.
Sunucuyu, saldırganın belirttiği iç/dış adreslere istek atmaya kandırma; iç servislere ve bulut metadata'sına erişim için kullanılır. Savunma: hedef beyaz listesi, iç ağ erişimini kısıtlama.
Sunucu tarafı şablon motoruna (Jinja2, Twig...) kullanıcı girdisinin enjekte edilmesi; çoğu zaman RCE'ye uzanır.
Veriyi anahtarla okunamaz hale getirme; doğru anahtarla geri çözülür. Simetrik (AES) ve asimetrik (RSA) türleri vardır. Hashing'den farkı: geri çözülebilir.
Tehdit aktörleri, TTP'leri ve IOC'ler hakkında toplanan/işlenen bilgi. Savunmayı proaktif yapar; MITRE ATT&CK ortak dili sağlar.
Telefonla (sesli) yapılan sosyal mühendislik; 'banka güvenlik' gibi kimliğe bürünüp OTP/kart bilgisi ister. Kural: banka asla telefonda OTP/şifre istemez.
Trafiği şifreli bir tünelden geçirerek gizlilik ve güvenli uzaktan erişim sağlar. Kurumsalda iç ağa güvenli bağlantı için kullanılır.
Web uygulamalarına gelen istekleri (SQLi, XSS imzaları) filtreleyen güvenlik katmanı. Tek başına yeterli değildir, derinlemesine savunmanın parçasıdır.
Sunucuya yüklenen ve URL üzerinden komut çalıştıran zararlı betik (örn. eval(base64_decode(...))). Genelde kısıtlanmamış dosya yükleme ile bırakılır.
Ağ paketlerini yakalayıp derinlemesine inceleyen analizör. Protokol anormalliği, C2 ve veri sızdırma tespitinde kullanılır.
Saldırganın bir web sayfasına zararlı JavaScript enjekte edip başka kullanıcıların tarayıcısında çalıştırmasıdır (çerez çalma, oturum ele geçirme). Savunma: çıktı kodlama, CSP ve HttpOnly çerezler.
XML ayrıştırıcısının dış varlıkları (external entity) işlemesinden faydalanarak dosya okuma, SSRF veya DoS yapma. Savunma: dış varlık işlemeyi kapat.
Dosyalardaki örüntülerle (string/byte imzaları) zararlı yazılımı tanımlayan kural dili. Statik analiz ve avlamada kullanılır.
'Asla güvenme, daima doğrula' ilkesi: ağ içi/dışı fark etmez, her erişim kimlik ve cihaz durumuna göre sürekli doğrulanır.
Üreticinin henüz bilmediği/yamamadığı, kamuya açık yaması olmayan zafiyet. İstismarı çok değerli ve tehlikelidir.