REST API Pentest (API Sızma Testi)
REST API Pentest, modern uygulamaların veri alışverişi sağlayan uç noktalarının (endpoints) güvenliğini doğrulamak amacıyla yapılan teknik bir denetim sürecidir. Bu süreç; API dokümantasyonunun incelendiği Keşif, yetki kontrollerinin zorlandığı BOLA/BOPLA Testleri, veri girişlerinin denetlendiği Enjeksiyon Analizleri ve hız sınırlama gibi İş Mantığı kontrollerinden oluşur. Özellikle “görünmez” arka plan servislerini hedef alan bu testler, kitlesel veri sızıntılarını önlemek ve mikro servis mimarilerindeki yetkilendirme hatalarını saptamak için siber dayanıklılığın en kritik bileşenidir.
USB Rubber Ducky ve BadUSB Saldırıları
Siber dünyada en güvenilen çevre birimlerinden biri olan USB cihazları, işletim sistemlerinin “tak-çalıştır” (plug-and-play) konforunu suistimal eden sofistike donanım saldırılarına zemin hazırlayabilir. USB Rubber Ducky, dışarıdan sıradan bir bellek gibi görünmesine rağmen bilgisayara takıldığı anda kendini yüksek hızlı bir “klavye” olarak tanıtır ve önceden yüklenmiş komutları saniyeler içinde yürüterek veri sızdırabilir veya arka kapı açabilir.
BadUSB ise daha derin bir tehdidi temsil ederek, cihazın mikro denetleyici (firmware) seviyesinde manipüle edilmesiyle dosya taramalarından kaçan ve sistem kimliğini değiştirebilen saldırıları kapsar.
Bu donanım tabanlı saldırılar, antivirüs yazılımlarının “dosya odaklı” korumasını aşarak doğrudan işletim sisteminin çevre birimi güvenini hedef alır. Kurumsal savunma tarafında bu riski yönetmek; “bulunan USB’yi takma” farkındalığını oluşturmak, Cihaz Kontrol (Device Control) politikalarıyla yetkisiz HID cihazlarını engellemek ve uç nokta (EDR) telemetrisiyle anormal klavye girişlerini anlık olarak izlemekle mümkündür.