Tüm önemli zafiyet kategorileri. Ekibinizin yazdığı her dil.
9 OWASP çerçevesi genelinde 310++ zafiyet türü ve 1500++ egzersiz — uygulama, bulut ve AI güvenliği. 15 dil ve framework'te üretim ortamına yakın desenler.
Uygulama güvenliğinin dokuz sütunu.
OWASP Web Top 10
Injection, kırık erişim kontrolü, kriptografi hataları, SSRF ve web uygulama riskine hâkim olan diğer kategoriler.
OWASP API Top 10
API'ye özgü riskler: nesne seviyesi yetkilendirme açıkları, mass assignment, hız sınırlama ve dahili uç noktalarda sunucu tarafı istek sahteciliği.
OWASP Mobile Top 10
Güvensiz depolama, biyometrik bypass, WebView injection, deep-link istismarı — yalnızca web eğitimlerinin asla kapsamadığı başarısızlık modları.
İstemci Tarafı Güvenliği
DOM XSS, prototype pollution, LocalStorage sızıntısı, postMessage istismarı — sunucuda değil, tarayıcıda yaşayan hatalar.
OWASP Cloud-Native Top 10
CNAS — güvensiz bulut yapılandırması, konteyner enjeksiyonu, IAM yanlış kullanımı, sır yönetimi, ağ politikaları, AWS / GCP / Azure'da IMDS açığı.
OWASP CI/CD Top 10
CICDSEC — akış kontrolü bypass'ı, zehirli pipeline yürütme, bağımlılık zinciri istismarı, sır sızıntısı, artefakt bütünlüğü, build pipeline'da denetim kayıt açıkları.
OWASP LLM Top 10
LLM uygulamalarında prompt enjeksiyonu, hassas bilgi sızıntısı, model tedarik zinciri, çıktı işleme zafiyetleri, sistem komutu sızıntısı ve sınırsız tüketim.
OWASP Agentic AI Top 10
Otonom AI ajanları için bellek zehirlenmesi, araç kötüye kullanımı, ayrıcalık ihlali, kademeli halüsinasyonlar, niyet kaçırma, kimlik taklidi, insan-onayı yorgunluk saldırıları.
Güvenli AI-Destekli Geliştirme
AI araçlarına sır sızıntısı, güvensiz kod önerileri, bağımlılıklarda prompt manipülasyonu, PR review'da AI riskleri, lisans bulaşması, otonom kodlama ajanı sınırları.
Üretim ortamına yakın — sözde kod değil.
Egzersizler, geliştiricilerinizin fiilen kullandığı dil ve framework için yazılır. Aynı SQL injection bir Spring Boot servisinde, bir Django view'unda, bir Express handler'ında veya bir .NET controller'ında farklı görünür — ve platform bunu yansıtır.
Eğitimi zorunlu hâle getirebilmenizi sağlayan şey, içerik kapsamıdır.
PCI DSS 4.0.1 ve AB Siber Dayanıklılık Yasası gibi uyumluluk çerçeveleri "ekibe OWASP Top 10 eğitimini verdik" demeyi kabul etmez. Stack'inizde fiilen görünen zafiyet sınıflarının kapsanmasını beklerler. Kategoriler genelinde genişlik ve diller genelinde derinlik, bir güvenlik takımının bu eğitimi tüm mühendislik organizasyonuna zorunlu kılmasını — hiçbir takımı kapsam dışında bırakmadan — mümkün kılan şeydir.
Kendi stack'inizde görün.
Interaktif demo, ekibinizin dilini seçmenize ve egzersizleri tam o stack üzerinde çalıştırmanıza olanak tanır.