En Kaliteli Yazılımcı ⭐⭐⭐
Merhaba arkadaşlar,
Uzun süredir üzerinde çalıştığımız ve klasik zafiyet tarayıcılarının (scanner) yeteneklerini fersah fersah aşan , v1’in 150 kat geliştirilmiş yeni nesil sızma testi motorumuz Deka Pentest v2'nin detaylarını sizlerle paylaşmak istiyorum.
Sektördeki çoğu araç sadece "Burada açık olabilir" deyip kenara çekilirken, biz işi otonom bir "Red Team Operatörü" seviyesine taşıdık. Deka Pentest v2, sadece web uygulamalarını değil; bulut altyapılarını, yapay zeka modellerini ve kritik ulusal sistemleri hedef alan karmaşık zincirleme saldırılar (chain-exploits) yapabilen bir canavar haline geldi.
İşte Deka Pentest v2'nin mimarisindeki farklı "Tehdit Katmanları" ve yapabildikleri:
1. Klasik Web Zafiyetlerinin Ötesi (Turbo Mode) 🌪
Standart XSS ve SQLi'nin ötesinde, modern web mimarilerini hedef alırız:
Web Cache Deception & CPDoS: Hedefin CDN (Cloudflare, Akamai) ve önbellek sistemlerini zehirleyerek, diğer kullanıcıların oturumlarını çalar veya sistemi geri döndürülemez bir "400 Bad Request" döngüsüne sokar.
GraphQL & API Gateway Yıkıcıları: Geleneksel WAF'ları aşmak için GraphQL üzerinde Alias Overloading ve Array-Based Batching saldırıları düzenler. Tek bir HTTP isteği içine 500 sorgu gömerek Rate Limit'leri darmadağın eder.
500+ Mass Exposure Fuzzer: Sistemde unutulmuş /.env, .git, veritabanı yedekleri ve Laravel/Spring Boot (Actuator) gibi framework'lere özel açık kapıları saniyeler içinde tespit eder.
2. Bulut Altyapısı Avcısı (Cloud Native & Pantheon Tier) ☁
Devasa Amazon (AWS), Google (GCP) veya Azure mimarilerini hedef alan modüller:
AWS IAM & Kubernetes Ele Geçirme: Yanlış yapılandırılmış bir SSRF bulduğunda durmaz. Bulutun Metadata servisine (169.254.169.254) sızıp otonom olarak AWS Root Anahtarlarını çeker veya K8s Service Account token'larını sızdırır.
Gelişmiş HTTP Request Smuggling (CL.TE / TE.CL): CloudFront veya AWS ALB gibi devasa Load Balancer'ları şaşırtarak (Transfer-Encoding vs Content-Length) müşterilerin arasına zararlı paketler sıkıştırır.
WAF Bypass Sanatı: Milyon dolarlık güvenlik duvarlarını atlatmak için payload'ları özel Unicode karakterleriyle (Örn: U+FF1C) maskeler (Normalization Bypass).
3. Otonom ve Silahlandırılmış Sömürü (Weaponized Exploits) 🔫
Deka Pentest v2, "Mock" (Sahte) testler yapmaz; bulduğu açıkları kanıtlamak için tetiği çeker:
SSRF to Redis Gopher RCE: İç ağa sızdığında (SSRF), içerideki korumasız Redis sunucularına "Gopher" protokolüyle bağlanır. Otonom olarak Redis'e veri yazıp bir CRONJOB oluşturarak sisteme Reverse Shell atmaya çalışır.
Gerçek Zamanlı SSTI & Shellshock: Şablon motorlarında (Jinja2, Spring) veya HTTP başlıklarında zafiyet bulduğunda, doğrudan işletim sistemi komutu (whoami, id) çalıştırıp yetki kanıtını rapora yansıtır.
Otonom Veri Çekimi (Data Exfiltration): Bulduğu bir SQL Injection açığında, tüm veritabanı şemasını otonom olarak haritalandırıp tablo isimlerini çeker.
4. APT (Gelişmiş Sürekli Tehdit) & Devlet Seviyesi Vektörler 🕵♂
NTLM Hash Hırsızlığı: Windows tabanlı kurumsal ağlarda, sunucuyu SMB protokolü üzerinden (UNC Path) kendi dış sunucularımıza yönlendirerek Admin NTLM parolalarını (Hash) otonom olarak çalmayı dener.
Deep JSON Memory Crash: Java/Node.js backend'lerini çökertmek için 10.000 derinlikte iç içe geçmiş (nested) devasa JSON objeleri göndererek hafıza taşması (Stack Overflow - DoS) yaratır.
Tedarik Zinciri (Supply Chain): package.json dosyalarını inceleyerek şirket içi özel paket isimlerini bulur ve "Dependency Confusion" saldırısı ile sunucuda kod çalıştırma potansiyelini tespit eder.
5. Kritik Ulusal Altyapılar (Apocalypse Tier) 🌍
Web'in sınırlarını aşıp, internete açık olmaması gereken altyapıları tespit eder:
SCADA ve ICS Keşfi: Elektrik santralleri, fabrikalar veya su arıtma tesislerinin internete açık endüstriyel panellerini (Siemens, Schneider PLC) bulur.
Medikal ve Havacılık Ağları: Hastanelerin PACS/DICOM (MR/Röntgen) görüntüleme sistemlerinin veya havacılık canlı radar (ADS-B) telemetrilerinin sızıntılarını yakalar.
Yapay Zeka Zehirleme (AI Model Poisoning): Şirketlerin LLM veya makine öğrenmesi modellerine, otonom olarak "Adversarial" (Zehirli) veriler gönderip algoritmalarını bozma potansiyelini test eder.
Mainframe Tespitleri: Bankacılık çekirdek sistemlerini oluşturan tarihi IBM z/OS (TN3270) arayüzlerinin dış ağdaki ölümcül varlığını kontrol eder.
VE ÇOK DAHA FAZLASI!
BU DAHA BAŞLANGIÇ!
Yakında, ÇOK YAKINDA! Artık siber güvenlik firmalarına on binlerce dolar vermeyeceksiniz. Marketten 1-2 abur cubur parasına sitenizi tarayacak, açıkları bulacak ve detaylı raporlama ile teslim edeceğiz!
Ünlü bir sözü tekrar hatırlatmak isteriz:
%100 Güvenlik Sadece Bir İllüzyondur.
O zamana kadar beklemede kalın, sistem çıktığında etiket almak için etiket almak istiyorum yazabilirsiniz.
Güvenli günler dileriz,abii sisteminiz güvendeyse😉