Agent skill

vulnerability-scanner

Advanced vulnerability analysis principles. OWASP 2025, Supply Chain Security, attack surface mapping, risk prioritization.

View SKILL.md on GitHub Repository
Stars 163
Forks 31

Install this agent skill to your Project

npx add-skill https://github.com/majiayu000/claude-skill-registry/tree/main/skills/data/vulnerability-scanner-berkantyilmaz0-megastore

SKILL.md

Güvenlik Açığı Tarayıcısı (Vulnerability Scanner)

Saldırgan gibi düşün, uzman gibi savun. 2025 tehdit manzarası farkındalığı.

🔧 Çalışma Zamanı Scriptleri

Otomatik doğrulama için çalıştırın:

Script Amaç Kullanım
scripts/security_scan.py Güvenlik prensiplerinin uygulandığını doğrula python scripts/security_scan.py <project_path>

📋 Referans Dosyalar

Dosya Amaç
checklists.md OWASP Top 10, Auth, API, Veri koruma kontrol listeleri

1. Güvenlik Uzmanı Zihniyet

Temel Prensipler

Prensip Uygulama
İhlal Olduğunu Varsay Saldırgan zaten içerideymiş gibi tasarla
Sıfır Güven (Zero Trust) Asla güvenme, her zaman doğrula
Derinlemesine Savunma Çoklu katmanlar, tek başarısızlık noktası yok
En Az Ayrıcalık Sadece gereken minimum erişim
Güvenli Başarısız Ol Hatada, erişimi reddet

Tehdit Modelleme Soruları

Taramadan önce, sorun:

  1. Neyi koruyoruz? (Varlıklar)
  2. Kim saldırır? (Tehdit aktörleri)
  3. Nasıl saldırırlar? (Saldırı vektörleri)
  4. Etkisi nedir? (İş riski)

2. OWASP Top 10:2025

Risk Kategorileri

Sıra Kategori Düşünülmesi Gerekenler
A01 Bozuk Erişim Kontrolü Kim neye erişebilir? IDOR, SSRF
A02 Güvenlik Yanlış Yapılandırması Varsayılanlar, başlıklar, ifşa edilmiş servisler
A03 Yazılım Tedarik Zinciri 🆕 Bağımlılıklar, CI/CD, derleme bütünlüğü
A04 Kriptografik Başarısızlıklar Zayıf kripto, ifşa edilmiş sırlar
A05 Enjeksiyon Kullanıcı girdisi → sistem komutları
A06 Güvensiz Tasarım Kusurlu mimari
A07 Kimlik Doğrulama Başarısızlıkları Oturum, kimlik bilgisi yönetimi
A08 Bütünlük Başarısızlıkları İmzalanmamış güncellemeler, tahrif edilmiş veriler
A09 Loglama & Uyarma Kör noktalar, izleme yok
A10 İstisnai Koşullar 🆕 Hata yönetimi, hatada açık kalma durumları

2025 Temel Değişiklikler

2021 → 2025 Değişimleri:
├── SSRF A01 (Erişim Kontrolü) içine birleşti
├── A02 yükseltildi (Bulut/Konteyner yapılandırmaları)
├── A03 YENİ: Tedarik Zinciri (büyük odak)
├── A10 YENİ: İstisnai Koşullar
└── Odak kayması: Kök nedenler > Semptomlar

3. Tedarik Zinciri Güvenliği (A03)

Saldırı Yüzeyi

Vektör Risk Sorulacak Soru
Bağımlılıklar Kötü amaçlı paketler Yeni bağımlılıkları denetliyor muyuz?
Kilit (Lock) dosyaları Bütünlük saldırıları Commit ediliyorlar mı?
Derleme hattı CI/CD ele geçirilmesi Kimler değiştirebilir?
Kayıt Defteri (Registry) Yazım hatası tuzağı (Typosquatting) Doğrulanmış kaynaklar?

Savunma Prensipleri

  • Paket bütünlüğünü doğrula (checksums)
  • Sürümleri sabitle (pin), güncellemeleri denetle
  • Kritik bağımlılıklar için özel kayıt defterleri kullan
  • Eserleri (artifacts) imzala ve doğrula

4. Saldırı Yüzeyi Haritalama

Ne Haritalanmalı

Kategori Öğeler
Giriş Noktaları API'ler, formlar, dosya yüklemeleri
Veri Akışları Girdi → İşlem → Çıktı
Güven Sınırları Auth/authz nerede kontrol ediliyor
Varlıklar Sırlar, PII, iş verileri

Önceliklendirme Matrisi

Risk = Olasılık × Etki

Yüksek Etki + Yüksek Olasılık → KRİTİK
Yüksek Etki + Düşük Olasılık  → YÜKSEK
Düşük Etki + Yüksek Olasılık  → ORTA
Düşük Etki + Düşük Olasılık   → DÜŞÜK

5. Risk Önceliklendirme

CVSS + Bağlam

Faktör Ağırlık Soru
CVSS Puanı Temel ciddiyet Güvenlik açığı ne kadar ciddi?
EPSS Puanı İstismar olasılığı İstismar ediliyor mu?
Varlık Değeri İş bağlamı Risk altında ne var?
Maruz Kalma Saldırı yüzeyi İnternete açık mı?

Önceliklendirme Karar Ağacı

Aktif olarak istismar ediliyor mu (EPSS >0.5)?
├── EVET → KRİTİK: Acil eylem
└── HAYIR → CVSS'i kontrol et
         ├── CVSS ≥9.0 → YÜKSEK
         ├── CVSS 7.0-8.9 → Varlık değerini düşün
         └── CVSS <7.0 → Daha sonrası için planla

6. İstisnai Koşullar (A10 - Yeni)

Fail-Open vs Fail-Closed

Senaryo Fail-Open (KÖTÜ) Fail-Closed (İYİ)
Auth hatası Erişime izin ver Erişimi reddet
Ayrıştırma başarısız Girdiyi kabul et Girdiyi reddet
Zaman aşımı Sonsuza kadar dene Sınırla + iptal et

Ne Kontrol Edilmeli

  • Her şeyi yakalayan ve görmezden gelen istisna işleyicileri
  • Güvenlik operasyonlarında eksik hata yönetimi
  • Auth/authz'de yarış koşulları (race conditions)
  • Kaynak tükenmesi senaryoları

7. Tarama Metodolojisi

Aşama Tabanlı Yaklaşım

1. KEŞİF (RECONNAISSANCE)
   └── Hedefi anla
       ├── Teknoloji yığını
       ├── Giriş noktaları
       └── Veri akışları

2. BULMA (DISCOVERY)
   └── Potansiyel sorunları belirle
       ├── Yapılandırma incelemesi
       ├── Bağımlılık analizi
       └── Kod deseni araması

3. ANALİZ (ANALYSIS)
   └── Doğrula ve önceliklendir
       ├── Yanlış pozitif elemesi
       ├── Risk puanlaması
       └── Saldırı zinciri haritalama

4. RAPORLAMA (REPORTING)
   └── Eyleme geçirilebilir bulgular
       ├── Net yeniden üretme adımları
       ├── İş etkisi
       └── İyileştirme rehberliği

8. Kod Deseni Analizi

Yüksek Riskli Desenler

Desen Risk Ara
Sorgularda string birleştirme Enjeksiyon "SELECT * FROM " + user_input
Dinamik kod yürütme RCE eval(), exec(), Function()
Güvensiz deserialization RCE pickle.loads(), unserialize()
Yol manipülasyonu Traversal Dosya yollarında kullanıcı girdisi
Devre dışı güvenlik Çeşitli verify=False, --insecure

Sır (Secret) Desenleri

Tür Göstergeler
API Anahtarları api_key, apikey, yüksek entropi
Tokenlar token, bearer, jwt
Kimlik Bilgileri password, secret, key
Bulut AWS_, AZURE_, GCP_ önekleri

9. Bulut Güvenliği Hususları

Paylaşılan Sorumluluk

Katman Siz Sahipsiniz Sağlayıcı Sahip
Veri
Uygulama
OS/Runtime Bağlı Bağlı
Altyapı

Buluta Özgü Kontroller

  • IAM: En az ayrıcalık uygulandı mı?
  • Depolama: Genel (public) bucketlar?
  • Ağ: Güvenlik grupları sıkılaştırıldı mı?
  • Sırlar: Secrets manager kullanılıyor mu?

10. Anti-Desenler

❌ Yapma ✅ Yap
Anlamadan tara Önce saldırı yüzeyini haritala
Her CVE için uyar İstismar edilebilirlik + varlık bazında önceliklendir
Yanlış pozitifleri görmezden gel Doğrulanmış taban çizgisi (baseline) koru
Sadece semptomları düzelt Kök nedenleri ele al
Dağıtımdan önce bir kez tara Sürekli tarama
Üçüncü taraf bağımlılıklara körü körüne güven Bütünlüğü doğrula, kodu denetle

11. Raporlama Prensipleri

Bulgu Yapısı

Her bulgu şunları cevaplamalıdır:

  1. Ne? - Net güvenlik açığı açıklaması
  2. Nerede? - Kesin konum (dosya, satır, uç nokta)
  3. Neden? - Kök neden açıklaması
  4. Etki? - İş sonucu
  5. Nasıl düzeltilir? - Belirli iyileştirme

Ciddiyet Sınıflandırması

Ciddiyet Kriterler
Kritik RCE, auth bypass, toplu veri ifşası
Yüksek Veri ifşası, ayrıcalık yükseltme
Orta Sınırlı kapsam, koşullar gerektirir
Düşük Bilgilendirici, en iyi uygulama

Unutmayın: Güvenlik açığı taraması sorunları bulur. Uzman düşüncesi neyin önemli olduğunu önceliklendirir. Her zaman sorun: "Bir saldırgan bununla ne yapardı?"

Didn't find tool you were looking for?

Be as detailed as possible for better results