EresusSecurity
API Security

API katmanındaki gerçek suistimal yollarını kanıtla görünür yapın.

Eresus; REST, GraphQL, SOAP, gRPC ve WebSocket yüzeylerinde object-level authorization, token lifecycle, rate limit, schema leakage ve microservice trust boundary risklerini doğrular.

Güvenlik görüşmesi planlaTüm hizmetler
Kimin için uygun

Bu program en çok aşağıdaki ekiplerde hızla değer üretir.

Güvenlik ve mühendislik liderleri

Uygulama, API, bulut veya kimlik işlerini yeniden önceliklendirmeden önce exploit kanıtı görmek isteyen ekipler.

Müşteri yüzeyi taşıyan ürün ekipleri

Yetki, tenant ayrımı, regülasyon veya internete açık maruziyet taşıyan sistemlerde çalışan ürün ekipleri.

Uyarı hacmi değil, kanıt isteyen alıcılar

Tarayıcı gürültüsü yerine yeniden üretilebilir bulgular, düzeltme yönü ve kapanış akışı isteyen programlar.

Kapsam

REST, GraphQL, SOAP, gRPC ve WebSocket kapsamı
OAuth, JWT, token ve session kontrolleri
Object/function-level authorization testleri
Gateway, microservice ve servis sınırı abuse senaryoları

Risk sinyalleri

BOLA/IDOR ile başka müşteriye erişim
Mass assignment ve role escalation
GraphQL introspection ve schema leakage
Rate limit, replay ve token abuse

Teslimatlar

API uç nokta risk haritası
Çalıştırılabilir istek/PoC kanıtları
Yetkilendirme katmanı ve politika önerileri
Yeniden teste hazır doğrulama listesi
Çalışma modeli

Tarayıcı çıktısı değil, kanıt üreten ofansif süreç.

01

Kapsam ve hedef

Varlıkları, iş akışlarını, kullanıcı rollerini, test pencerelerini ve güvenli çalışma sınırlarını birlikte netleştiririz.

02

Uzman doğrulaması

Eresus analistleri otomatik çıktıyı değil, gerçek istismar edilebilirliği ve iş etkisini kanıtlayan kontrollü testleri yürütür.

03

Kanıt, düzeltme, yeniden test

Her bulgu kanıt, etki, çözüm yolu ve yeniden test adımlarıyla teslim edilir; kapanış doğrulaması aynı akışta yapılır.

Sık sorulanlar

Alıcıların ilk konuşmada netleştirmek istediği başlıklar.

Bu çalışma kapsamı nasıl belirleniyor?+
Kapsamı varlıklar, iş akışları, yetki sınırları ve maddi risk yaratabilecek saldırı yollarına göre çıkarırız. Liste değil, istismar edilebilirlik odaklı ilerleriz.
Çalışma sonunda ne teslim alıyoruz?+
Kanıtlı bulgular, iş etkisi özeti, geliştiriciye uygun düzeltme yönü ve kapanış için yeniden test akışı teslim ederiz.
Düzeltme ve yeniden test desteği veriyor musunuz?+
Evet. Düzeltme yönünü birlikte netleştirir ve kritik kapatmaları yeniden doğrulayarak belirsizliği azaltırız.

Riskleri iş etkisine bağlarız.

Bulgular sadece CVSS skoru olarak kalmaz. Hangi müşteri akışını, hangi veri sınıfını, hangi operasyonel hedefi etkilediği açıkça yazılır.

Teslimat geliştirici ve yönetici için ayrı okunur.

Teknik ekipler yeniden üretilebilir kanıt ve düzeltme yönü alır; liderlik tarafı ise risk hikayesini, önceliği ve kapanış durumunu net görür.

İlgili içerik

Bu hizmeti açıklayan araştırma ve güvenlik bültenleri.

Araştırma

Modern API''lerin Sessiz Katili: BOLA / IDOR Zafiyetleri ve Etkileri

OWASP API Top 10 listesinin değişilmez lideri Broken Object Level Authorization (BOLA/IDOR) zafiyeti neden WAF veya DAST araçları tarafından...

Güvenlik bülteni

ERESUS-ADV-2026-002: Cloud Metadata Endpointleri Üzerinden SSRF Riski

Cloud ortamlarında doğrulanmamış URL fetch akışları, SSRF üzerinden metadata servislerine, geçici IAM credential'larına ve iç konfigürasyon bilgilerine erişim riski oluşturabilir.

Güvenlik bülteni

Zero-Day Analizi: n8n-mcp Authenticated SSRF Zafiyeti (GHSA-4ggg-h7ph-26qr)

n8n-mcp multi-tenant HTTP modundaki authenticated SSRF zafiyeti, geçerli token sahibi saldırganların sunucu üzerinden iç ağ ve cloud metadata kaynaklarına istek attırmasına izin verir.

Sonraki adım

Bu kapsamı gerçek risk yüzeyinize göre birlikte netleştirelim.

Pilot, tek uygulama, kritik API, AI ajan akışı veya daha geniş program fark etmez; önce iş etkisi yüksek yüzeyden başlarız.

Güvenlik görüşmesi planlaKapsam iste