Klasik WAAP, HTTP isteklerini bilinen saldırı signature'ları için inceler — SQL injection, XSS, command injection. Bu iş hâlâ kritik ve saldırıların çoğu hâlâ bunlara çarpar. Ama saldırı yüzeyi artık sadece signed HTTP payload'larıyla sınırlı değil.
Açık API'ler tarayıcı isteği gibi görünmeyen trafik taşır ve klasik WAAP kuralları bunları çoğu zaman ıskalar. Otomatik botlar gerçek kullanıcıları taklit eder, signature kontrollerini atlatır ve ölçekte kimlik bilgisi denemeye yatar. Hesap ele geçirme, gerçek görünen trafikle gerçek login endpoint'lerine yapılan credential stuffing kampanyalarıyla olur. Sayfalarınızdaki üçüncü taraf JavaScript form verilerini doğrudan saldırgana sızdırır — ve WAAP bunu hiç görmez, çünkü veri sunucunuza ulaşmadan önce tarayıcıdan ayrılır.
Sektörün cevabı WAAP — Web Uygulama ve API Koruması — WAAP'in üstüne API güvenliği, bot yönetimi, hesap ele geçirme önleme ve client-side savunmayı ekleyen tek bir şemsiyedir. TR7 bu şemsiyeyi tek platform olarak on-prem uygular ve aynı vService'in üstüne ekler — uygulamanızı zaten teslim eden vService'in.
Tek tek alındığında her biri değerli. Birlikte alındığında, başkasının bulutuna bağımlı olmayan modern bir web ve API koruma platformunun nasıl görünmesi gerektiğini yeniden tanımlar.
Çoğu modern WAAP seçeneği trafiğinizi sizin işletmediğiniz bir edge bulutundan geçirir. TR7 WAAP kendi donanımınızda, kendi veri merkezinizde, kendi ağ kontrolleriniz altında çalışır. Üçüncü taraf trafik müdahalesi yok, ağ dışı istek çözme yok, paylaşımlı çok-kiracılı edge yok.
WAAP (OWASP Top 10 + özel signature'lar + sanal yamalama), API güvenliği (keşif + OpenAPI schema enforcement), bot yönetimi, hesap ele geçirme önleme, L7 DDoS koruması, client-side ve Magecart savunması. Tek platform; ayrı cihazların dikilmiş bir suite'i değil.
10.000+ aktif signature sürekli güncelleniyor. OWASP Web Top 10 ve OWASP API Top 10'da 10/10 kapsama. Her tespit 100+ CWE koduna, 30+ CAPEC saldırı paternine ve 30+ MITRE ATT&CK tekniğine yerel olarak eşlenir — SOC ve uyumluluk ekibiniz WAAP olaylarını zaten kullandıkları taksonomide görür.
11-faktörlü davranışsal scoring motoru uygulamanızın normal trafiğine adapte olur — TLS fingerprint'leri, 23 kategori IP reputation, istek ritmi ve daha fazlası. Üstüne: parse edilmiş JSON body değerleri, header içeriği veya cookie içeriği dahil herhangi bir trafik özelliği üzerinden rate-limit veya aksiyon alabilen içerik-farkındalıklı kural motoru — tek satır script yazmadan.
Ağınızın kenarında emilen volumetric DDoS, WAAP tarafından engellenen istekler, bot challenge'ları ve rate-limit'lenen trafik — hiçbiri bant genişliği sayacına dahil değil. WAAP ne kadar çok çalışırsa, throughput ile faturalanan bant genişliği arasındaki fark o kadar büyür.
Aşağıdaki her yetenek WAAP platformunun parçası olarak gelir ve mevcut vService'lerinize bağlanır.
Hem OWASP Web Application Top 10 hem de OWASP API Security Top 10'da 10/10 kapsama. SQL injection, XSS, command injection, CSRF, path traversal, kırık nesne-seviyesi yetkilendirme ve geri kalanı — hepsi sürekli güncellenen yönetilen signature'larla kapsanır.
Bilinen saldırı paternlerini, exploit primitif'lerini ve gelişen CVE'leri kapsayan sürekli güncellenen signature seti. Sanal yamalama, yeni bir CVE'yi haftalar değil saatler içinde devreye alınmış kurala dönüştürür.
Her tespit kendi CWE koduna (100+ kod), CAPEC saldırı paternine (30+ patern) ve MITRE ATT&CK tekniğine (30+ teknik) eşlenir. SOC araştırmaları, SIEM korelasyonu ve uyumluluk raporları, güvenlik yığınınızın geri kalanıyla aynı taksonomiyi konuşur.
Organizasyona özel signature'lar, istisna kuralları ve sanal yamalar ekleyin. vService başına kural kapsamı sayesinde bir servisin politikası diğerini etkilemez.
API keşfi gerçekte kullanılan endpoint'leri yüzeye çıkarır. OpenAPI schema enforcement istek metodunu, path'i, parametreleri ve body'yi kontrata göre doğrular. Endpoint başına rate limit ve metot kısıtlamaları.
11-faktörlü ağırlıklı scoring motoru TLS fingerprint'lerini, 23 kategori IP reputation'ı, istek ritmini ve istek şeklini analiz eder. Davranışsal baseline zamanla uygulamanızın normal trafiğine adapte olur; üstel scoring eğrisi düşük yanlış pozitif için ayarlıdır.
Herhangi bir trafik özelliği üzerinden rate limit, challenge veya block — header değerleri, cookie içerikleri, URL parametreleri ve hatta parse edilmiş JSON istek body'sindeki değerler. Hepsi platformun başka yerinde kullanılan aynı görsel kural builder'ında yapılandırılır. Tescilli script dili yok.
Login endpoint'lerindeki credential stuffing paternlerini tespit eder. Dağıtık low-and-slow denemeleri, imkansız seyahat ve tek-IP rate limit'in kaçırdığı anormal oturum oluşturma oranlarını tanır.
HTTP-flood, slow-loris ve uygulama katmanı volumetric saldırıları WAAP katmanında emilir. Tam vektör aralığı için TR7'nin L4 DDoS korumasıyla birlikte kullanılır.
Sayfalarınız tarafından yüklenen üçüncü taraf script'leri izler. Yetkisiz script değişikliklerini, şüpheli form-data sızıntı paternlerini ve sunucu-tarafı WAAP'in göremediği tedarik zinciri skimming saldırılarını tespit eder.
WAAP, bot fingerprint'leri ve IP reputation feed'lerinin signature veritabanları sürekli güncellenir — manuel indirme döngüsü yok, site başına versiyon farkı yok.
TLS sonlandırma, klasik cipher suite'lerin yanı sıra post-quantum cipher suite'lerini destekler — zorunlu olduğunda yeniden mimari kurmadan geçişe hazır.
Servisleri kiracıya veya iş birimine göre grupla; politikayı grup seviyesinde uygula. Kurumsal kiracı için bir kural seti, müşteri kiracısı için başka bir kural seti — ikisi de tek platformda.
Politika başına markalı blok sayfaları. Engellenen isteğe doğru mesajı göster; bir saldırı otomatik kilitlemeyi tetiklediğinde bakım sayfası servis et.
Payload incelemesi yeterli olmadığında — istek temiz görünür ama saldırgan tarayıcıda render edilen DOM'u hedefliyor — ZeroLeak izolasyon katmanı uygulamayı cihaz dışında render eder, böylece kullanıcının makinesinde saldırganın sızdırabileceği hiçbir şey kalmaz.
Her WAAP kararı — engellenen, challenge edilen, izin verilen — yapılandırılmış telemetri yayar. Herhangi bir isteği vService'i yöneten aynı konsol üzerinden uçtan uca araştırın.
Altı net tanımlı aşama. Her aşama vService başına yapılandırılabilir. Her aşama Dynamic Flow Panel'de diyagram olarak görünür.
İstek vService dinleyicisine ulaşır. TLS burada sonlanır, böylece WAAP katmanları açık metin inceleyebilir. Modern cipher'lar, donanım hızlandırmalı handshake.
L7 DDoS koruması, IP reputation feed'leri ve coğrafya politikası derin incelemeden önce çalışır. Bariz flood trafiği ve bilinen-kötü kaynaklar inceleme bütçesi tüketmeden düşürülür.
OWASP signature kontrolleri, özel kurallar, yapısal saldırı tespiti, parametre ve argüman doğrulaması. İstek skorlanır ve karara bağlanır: izin, engelle, sanal yamala veya davranış analizine geçir.
Signature ve davranış sinyalleri isteği insan, bilinen bot veya bilinmeyen otomasyon olarak skorlar. Politika başına mitigasyon: izin, challenge, throttle veya düşür.
Bir API endpoint'ini hedefleyen istekler için OpenAPI schema kontrolü metodu, path'i, parametreleri ve body'yi kontrata göre doğrular. Uyuşmazlıklar yapılandırılan eylemi tetikler.
Karar uygulanır — backend'e geçir, blok sayfası dön, challenge ver veya rate-limit. Tüm karar zinciri araştırma ve uyumluluk için loglanır.
Bot yönetimi, yoğun trafik dönemlerinde credential stuffing ve carding botlarını engeller. WAAP kuralları OWASP Top 10 saldırılarını durdurur; client-side savunma, ödeme sayfasında skimmer'ların kart verisini toplamasını önler.
OWASP zorunlu kontroller, login endpoint'lerinde hesap ele geçirme önleme, açık-bankacılık akışları için API koruması ve düzenleyici inceleme için denetime hazır loglama.
Uygulama katmanında hasta verisi koruması, on-prem dağıtım PHI'yi hastane ağı içinde tutar, portal API'lerinde injection tarzı veri sızıntısını engellemek için schema doğrulama.
Veri yerelliğinin pazarlık konusu olmadığı vatandaş-yüzlü servisler için on-prem WAAP. Uyumluluk çerçeveleri için OWASP kapsama, güvenlik operasyon ekibi için denetim loglaması.
OpenAPI kontratına karşı schema doğrulama, endpoint başına rate limit, metot kısıtlamaları, parametre doğrulama. API kazıma ve credential stuffing'i durdurmak için bot yönetimi ile birlikte.
Login endpoint'leri sürekli credential-stuffing baskısı altında. ATO tespiti, tek-IP rate limit'in kaçırdığı dağıtık denemeleri, imkansız seyahati ve anormal oturum-oluşturma oranlarını tanır.
Bu çözüme refer eden ürün özellikleri — yukarıda anlatılan kontrolleri oluşturan teknik parçalar.
Eksik HttpOnly, Secure ve SameSite bayraklarını uygulama koduna dokunmadan tamamlayın.
Kurum servislerine şifreli giderken bile WAAP denetimi, mTLS kimliği ve veri maskeleme çalışmaya devam eder.
JSON body ve JWT içeriğini trafik kararının birinci sınıf sinyaline dönüştürün.
Kurum servisi kodunu değiştirmeden response içeriğini maskele, değiştir veya HTML ekle.
Anlık blok yerine davranışı izleyin; eşiği aşan kaynağı süreli karantinaya alıp otomatik serbest bırakın.
Tek ifade dili — trafik, sağlık, log, GTM, güvenlik ve erişim kararları aynı modelde.
Üretim trafiğini istek bazında görün; gözlemi doğrudan kural aksiyonuna dönüştürün.
30+ kırılım boyutu, üç format (PDF/XLSX/HTML), 10 yıla kadar cihaz-içi geçmiş — ayrı yönetim sunucusu yok.
3000+ kural, OWASP / API Top 10 / CWE taksonomisi, 14 korelasyon ekseni, per-host-group + cross-group rollup.
Çerez değerlerini istemciden gizleyin; kurum servisi kodunu değiştirmeden oturum bütünlüğünü koruyun.
Header'ın ötesine geç; body içeriği trafik ve güvenlik kararının parçası olsun.
TLS'i dosya tabanlı ayardan çıkarın; servis bazlı güvenlik profili, sertifika yaşam döngüsü ve kuantum-sonrası hazırlığa dönüştürün.
Kurum servislerinin IP, gateway veya route ayarlarına dokunmadan TR7 ADC'yi trafik yoluna alın.
FTP'yi yalnızca açık port olarak değil, komut komut denetlenen güvenli bir dosya transfer oturumu olarak yönetin.
ADC, routing ve L3/L4 güvenlik tek konsolda.
İmzayı, skoru ve bağlamı tek motorda birleştirin; bilinen saldırıları kontrollü yönetin.
Üreten de, gösteren de, doğrulayan da ADC'nin içinde. Üçüncü taraf buluta tek çağrı yok.
Hazır imza setinin yanına kurumunuza özel WAAP mantığını ekleyin; aynı skor, aynı log, aynı politika motoruyla çalıştırın.
Ülke ve ASN bağlamını erişim kararına dönüştürün — dış servise bağımlılık olmadan.
TR7 merkez beslemesi, harici URL listeleri ve kurumun kendi istisnaları tek IP itibar motorunda birleşir.
UDP ve TCP syslog trafiğini SIEM önünde toplayın, sınıflandırın, çoğaltın ve doğru hedeflere yönlendirin.
Kurumsal DNS trafiğini hızlandıran ve kötü niyetli sorguları engelleyen tek katman.
IP listesi değil, gerçek trafik zekâsı — 60+ kriter, AND/OR/NOT grupları ve Smart Function zinciri.
Kod değişikliğini beklemeden, açığı trafik katmanında dakikalar içinde kontrol altına alın.
GraphQL trafiğini tek bir POST body olarak bırakmayın; introspection, nested DoS ve query batching pattern'lerini WAAP içinde yakalayın.
8 güvenlik başlığını uygulama kodu değiştirmeden ADC katmanından uygulayın.
Jenerik 'erişim reddedildi' yerine marka, dil ve sebep kodunu taşıyan kontrollü bir engelleme deneyimi sunun.
TR7 WAAP için canlı demo talep edin. WAAP, API güvenliği, bot yönetimi ve client-side savunmayı tek bir oturumda ortamınızda yapılandırırız.