2020'ler uygulamaların nasıl yapıldığını yeniden yazdı. Tarayıcı hâlâ HTML yüklüyor ama gerçek işin çoğu API'ler üzerinden — açık, ortak ve dahili — gerçekleşiyor. Her API bir kontrat; her kontratın bir şekli; her şekil klasik WAAP kurallarının yakalamadığı yollarla kırılabiliyor. Broken object-level authorization, mass assignment, excessive data exposure, broken authentication — OWASP API Top 10 ayrı bir liste çünkü saldırı paternleri ayrı.
Sektörün cevabı pure-play API güvenlik platformları dalgası oldu — hemen hepsi cloud SaaS. Çalışmaları için API trafiğinizin onlara görünür olması gerekir, bu da genellikle edge'lerinden geçirilmek veya mirror kopyalar göndermek anlamına gelir. Düzenlenmiş sektörler, egemen dağıtımlar veya API yanıtlarında PII ya da ödeme verisi taşıyan herkes için bu anında uyumluluk ve operasyonel problemdir.
TR7 API güvenliğini API'nin gerçekten yaşadığı yerde — kendi platformunuzda — tutar. Keşif, schema enforcement, OWASP API Top 10 kapsama, içerik-farkındalıklı kurallar ve hassas veri maskeleme hepsi on-prem çalışır, API'yi teslim eden aynı vService'in üstüne bağlı olarak. WAAP ve teslim için kullandığınız aynı konsol API güvenliğini de kapsar.
Tek tek alındığında her biri değerli. Birlikte alındığında, API'lerinizi başkasının bulutuna göndermeyi gerektirmeyen bir API güvenliğinin nasıl olması gerektiğini tanımlar.
Çoğu modern API güvenlik platformu SaaS — trafiğinizin ve schema'larınızın bulutlarına görünür olmasını ister. TR7 kendi donanımınızda çalışır. Yüklediğiniz schema'lar, öğrendiğimiz envanter ve incelediğimiz yanıtlar ağınızdan asla çıkmaz.
OWASP API Security Top 10'un tam kapsaması — broken object-level authorization, broken authentication, excessive data exposure, mass assignment, security misconfiguration ve geri kalanı. Her tespit CWE (100+ kod), CAPEC (30+ patern) ve MITRE ATT&CK (30+ teknik) ile eşlenir, böylece SOC'unuza zaten kullandığı taksonomide ulaşır.
API endpoint'leri pasif trafik gözlemiyle otomatik yüzeye çıkar. Envanter canlıya geçmeden önce operatör inceler. OpenAPI schema'ları doğrudan yüklenebilir veya trafikten öğrenilebilir; enforcement, metodu, path'i, parametreleri ve body'yi kontrata göre doğrulayan pozitif güvenlik modeli — kontratın dışındaki her şey loglanır veya engellenir.
Herhangi bir trafik özelliği üzerinden rate-limit, challenge veya block — header değerleri, cookie içerikleri, URL parametreleri ve hatta parse edilmiş JSON istek body'sinden değerler. Örnek: bir arama endpoint'ini istek body'sinde 'tier: free' iken farklı, 'tier: enterprise' iken farklı rate-limit'e tabi tut. Hepsi görsel kural builder'da yapılandırılır; script dili yok.
PII, ödeme bilgileri, kimlik bilgileri ve diğer hassas patternler API yanıtlarında tespit edilir ve istemciye ulaşmadan önce politika doğrultusunda maskelenir — seçtiğiniz yerlerde işlevsel bağlam (son dört hane, kısmi e-posta) kalır, geri kalanı gizlenir. Geri kalan kurallarınızla aynı yapılandırma modeli.
Aşağıdaki her yetenek platformun parçası olarak gelir ve mevcut vService'lerinize bağlanır.
Pasif trafik gözlemi gerçekte kullanılan her endpoint'i — shadow ve dokümante olmayan API'ler dahil — yüzeye çıkarır. Operatör envanteri inceler ve neyin takip edileceğini onaylar, böylece manuel liste tutma derdi olmadan katalog doğru kalır.
OpenAPI spec yükleyin veya TR7'nin gözlenen trafikten öğrenmesine izin verin. Enforcement istek metodu, path, parametreler ve body şeklini kontrata göre doğrular; politika başına uyuşmazlıkları loglar veya engeller. Pozitif güvenlik modeli — kontrat dışı her şey reddedilir, injection ve mass-assignment denemeleri dahil.
OWASP API Top 10'da 10/10 kapsama — broken object-level authorization, broken user authentication, excessive data exposure, kaynak ve rate limiting eksikliği, broken function-level authorization, mass assignment, security misconfiguration, injection, improper assets management ve yetersiz loglama.
Her API tespiti CWE koduna, CAPEC saldırı paternine ve MITRE ATT&CK tekniğine eşlenir. SIEM korelasyonu, olay müdahalesi ve uyumluluk raporları, güvenlik ekibinizin zaten kullandığı taksonomiyi konuşur.
Aynı API'nin /login, /search ve /export endpoint'leri için farklı rate limit'ler. Endpoint başına metot kısıtlamaları (GET izinli, POST engelli). Hepsi API'yi teslim eden vService'e kapsamlanır.
Herhangi bir trafik özelliği üzerinden rate-limit, challenge veya block — header değerleri, cookie içerikleri, URL parametreleri, parse edilmiş JSON body değerleri. Görsel olarak yapılandırılır; öğrenilecek tescilli script dili yok.
PII (ad, e-posta, TC kimlik no), ödeme bilgisi (kart numarası, IBAN), kimlik bilgileri ve sağlık verisini API yanıtlarında tanır. İstemciye teslim edilmeden önce politika doğrultusunda maskele — faydalı kısmı (ön ek veya son ek) tut, geri kalanı gizle — ya da hiç servis edilmemesi gereken bir veri ise yanıtı doğrudan engelle.
API kenarında JWT doğrulama, mTLS, OAuth2 ve OIDC uygulaması — TR7'nin erişim yönetimi katmanına devredilir. Web uygulamalarını koruyan aynı kimlik politikaları API'leri de korur.
WAAP ve bot yönetimi için kullanılan aynı davranışsal motor API trafiğini de skorlar — TLS fingerprint'leri, 23 kategori IP reputation, istek ritmi ve istek şekli. Davranışsal baseline uygulamanızın normal API kullanımına adapte olur.
HTTP flood, slowloris ve uygulama hedefli bot flood'ları WAAP katmanında emilir — endpoint başına API-farkındalıklı eşiklerle uygulanır. vService başına kapsamlanır.
Credential-stuffing paternleri sadece web formlarına değil, API login endpoint'lerine de vurur. Web login yüzeylerini koruyan aynı ATO tespiti /api/v1/login'i de korur — dağıtık low-and-slow denemeleri, imkansız seyahat, anormal oturum-oluşturma oranları.
Her API isteği kararı — izinli, engellenmiş, rate-limit'lenmiş, maskelenmiş — WAAP ve teslim için kullanılan aynı konsola loglanır. Herhangi bir isteği uçtan uca araştırın. PCI DSS, HIPAA ve diğer uyumluluk gereksinimleri için denetim izleri hazır.
API metrikleri, saldırı telemetrisi ve envanteri vService, WAAP politikası ve DDoS görüşüyle aynı operatör konsolunda. Öğrenilecek ayrı bir API güvenliği paneli yok.
OWASP API Top 10, web OWASP Top 10'dan ayrı bir listedir çünkü API saldırı paternleri farklıdır. TR7 onunu da kapsar.
Saldırganlar URL'lerdeki nesne ID'lerini manipüle ederek başka kullanıcıların verisine erişir. Schema enforcement ve endpoint başına yetkilendirme kontrolleri BOLA denemelerini görünür ve engellenebilir hale getirir.
API endpoint'lerinde zayıf veya yanlış yapılandırılmış kimlik doğrulama. API kenarında JWT doğrulama, mTLS ve OAuth2 uygulaması yaygın bypass paternlerini önler.
İstemcinin ihtiyacından fazla veri döndüren API'ler. Hassas veri tespiti ve maskeleme, PII'nin, ödeme bilgilerinin ve kimlik bilgilerinin istemciye ulaşmadan kaldırılmasını veya maskelenmesini sağlar.
Rate limit'siz API'ler botlar, scraper'lar ve credential-stuffing tarafından kötüye kullanılır. Endpoint başına, metot başına, kiracı başına ve içerik-farkındalıklı rate limit'ler kötüye kullanımı platformda durdurur.
Yetkili fonksiyonların yetkisiz kullanıcılara açılması. Endpoint başına metot kısıtlamaları, kimlik-farkındalıklı politikalarla birleşerek yetkisiz fonksiyon erişimini önler.
Saldırganlar API'nin beklemediği alanları enjekte ederek hassas özellikleri günceller. OpenAPI schema enforcement beklenmeyen alanları olan istek body'lerini doğrudan reddeder.
Ayrıntılı hata mesajları, eksik header'lar, açıkta admin endpoint'leri. Keşif bu endpoint'leri yüzeye çıkarır; politika production-güvenli varsayılanları uygular.
API parametre ve body'lerinde SQL injection, NoSQL injection, command injection. WAAP signature'ları ve schema'ya karşı parametre doğrulama, injection denemelerini engeller.
Eski API versiyonları, kullanım dışı endpoint'ler ve production'da erişilebilir dokümante olmayan API'ler. Keşif bunları yüzeye çıkarır; envanter resmin güncel kalmasını sağlar.
Güvenlik ekibine görünmeyen saldırılar. Her API isteği kararı teslim ve güvenlikle aynı konsola loglanır; SIEM export'ları CWE / MITRE taksonomilerini kullanır.
Ortak API'ler için katı schema enforcement, müşteri hesap yanıtlarında hassas veri maskeleme, API kenarında uygulanan OAuth2 kimlik doğrulaması, düzenleyici inceleme için denetim logları.
HIPAA-ilgili API yanıtları PHI için taranır; hassas hasta verisi istemci uygulamalara ulaşmadan önce politika doğrultusunda maskelenir. On-prem dağıtım API'leri ve veriyi hastane ağı içinde tutar.
Mühendislik ekipleri güvenlik ekiplerinin takip edebildiğinden daha hızlı yeni endpoint çıkarır. Pasif keşif kullanımdaki her endpoint'i yüzeye çıkarır; operatör onaylı envanter manuel bakım olmadan katalogun doğru kalmasını sağlar.
Carding botları, scraper çiftlikleri ve credential stuffing API endpoint'lerine vurur. Endpoint başına rate limit'ler, içerik-farkındalıklı kurallar ve davranışsal bot scoring, gerçek müşterileri engellemeden kötüye kullanımı durdurur.
Veri yerelliği kuralları üçüncü taraf API incelemesini yasaklar. On-prem API güvenliği her byte'ı vatandaş-verisini barındıran ağ içinde tutar; uyumluluk denetimleri her isteği tek konsoldan izler.
Ekipler arasında yüzlerce dahili endpoint, çoğu dokümante değil. Keşif + schema enforcement, her servis ekibinin ayrı bir SaaS agent kurmasını gerektirmeden takip edilmeyen bir yüzeyi yönetilen bir kataloğa çevirir.
Bu çözüme refer eden ürün özellikleri — yukarıda anlatılan kontrolleri oluşturan teknik parçalar.
Preflight ve response CORS başlıklarını tek kuraldan, uygulama koduna dokunmadan yönetin.
Kurum servislerine şifreli giderken bile WAAP denetimi, mTLS kimliği ve veri maskeleme çalışmaya devam eder.
JSON body ve JWT içeriğini trafik kararının birinci sınıf sinyaline dönüştürün.
Tek ifade dili — trafik, sağlık, log, GTM, güvenlik ve erişim kararları aynı modelde.
3000+ kural, OWASP / API Top 10 / CWE taksonomisi, 14 korelasyon ekseni, per-host-group + cross-group rollup.
Header'ın ötesine geç; body içeriği trafik ve güvenlik kararının parçası olsun.
İstemci sertifikasını bağlantı kontrolünden çıkarın; trafik kararlarına dahil olan kimlik objesine dönüştürün.
İmzayı, skoru ve bağlamı tek motorda birleştirin; bilinen saldırıları kontrollü yönetin.
Hassas veriyi kullanıcıya ve loglara ulaşmadan önce platform seviyesinde maskeleyin.
Gerçek trafikten API envanteri çıkarın; izin verilen şema dışında kalan istekleri kontrol altına alın.
Tek IP, tek hesap, tek API anahtarı — hangi boyutta sınırlandıracağınıza siz karar verin.
GraphQL trafiğini tek bir POST body olarak bırakmayın; introspection, nested DoS ve query batching pattern'lerini WAAP içinde yakalayın.
TR7 API Güvenliği için canlı demo talep edin. API trafiğiniz üzerinde keşif çalıştırır, schema enforcement akışını gezdirir ve gerçek bir yanıt üzerinde hassas veri maskelemeyi gösteririz.