İçerik Kapsamı

Tüm önemli zafiyet kategorileri. Ekibinizin yazdığı her dil.

9 OWASP çerçevesi genelinde 310++ zafiyet türü ve 1500++ egzersiz — uygulama, bulut ve AI güvenliği. 15 dil ve framework'te üretim ortamına yakın desenler.

310+
zafiyet türü
1500+
egzersiz
15
dil ve stack

Uygulama güvenliğinin dokuz sütunu.

Uygulama Güvenliği4

OWASP Web Top 10

80 konu

Injection, kırık erişim kontrolü, kriptografi hataları, SSRF ve web uygulama riskine hâkim olan diğer kategoriler.

SQL InjectionXSSCSRFSSRFAuth Failures

OWASP API Top 10

25 konu

API'ye özgü riskler: nesne seviyesi yetkilendirme açıkları, mass assignment, hız sınırlama ve dahili uç noktalarda sunucu tarafı istek sahteciliği.

BOLAMass AssignmentRate LimitingSSRF

OWASP Mobile Top 10

30 konu

Güvensiz depolama, biyometrik bypass, WebView injection, deep-link istismarı — yalnızca web eğitimlerinin asla kapsamadığı başarısızlık modları.

Insecure StorageBiometric BypassWebView Injection

İstemci Tarafı Güvenliği

24 konu

DOM XSS, prototype pollution, LocalStorage sızıntısı, postMessage istismarı — sunucuda değil, tarayıcıda yaşayan hatalar.

DOM XSSPrototype PollutionLocalStorage Leak
Bulut Güvenliği2

OWASP Cloud-Native Top 10

31 konu

CNAS — güvensiz bulut yapılandırması, konteyner enjeksiyonu, IAM yanlış kullanımı, sır yönetimi, ağ politikaları, AWS / GCP / Azure'da IMDS açığı.

Public S3 BucketsIMDS ExposureIaC SecretsUntrusted Images

OWASP CI/CD Top 10

10 konu

CICDSEC — akış kontrolü bypass'ı, zehirli pipeline yürütme, bağımlılık zinciri istismarı, sır sızıntısı, artefakt bütünlüğü, build pipeline'da denetim kayıt açıkları.

Pipeline PoisoningDependency ConfusionSecrets in RepoRunner Risks
AI Güvenliği3

OWASP LLM Top 10

32 konu

LLM uygulamalarında prompt enjeksiyonu, hassas bilgi sızıntısı, model tedarik zinciri, çıktı işleme zafiyetleri, sistem komutu sızıntısı ve sınırsız tüketim.

Prompt InjectionPII DisclosureRAG PoisoningRCE via Output

OWASP Agentic AI Top 10

30 konu

Otonom AI ajanları için bellek zehirlenmesi, araç kötüye kullanımı, ayrıcalık ihlali, kademeli halüsinasyonlar, niyet kaçırma, kimlik taklidi, insan-onayı yorgunluk saldırıları.

Memory PoisoningTool MisuseGoal HijackingHitL Fatigue

Güvenli AI-Destekli Geliştirme

23 konu

AI araçlarına sır sızıntısı, güvensiz kod önerileri, bağımlılıklarda prompt manipülasyonu, PR review'da AI riskleri, lisans bulaşması, otonom kodlama ajanı sınırları.

Code Paste LeakVulnerable PatternREADME PoisoningMCP Exposure

Üretim ortamına yakın — sözde kod değil.

Egzersizler, geliştiricilerinizin fiilen kullandığı dil ve framework için yazılır. Aynı SQL injection bir Spring Boot servisinde, bir Django view'unda, bir Express handler'ında veya bir .NET controller'ında farklı görünür — ve platform bunu yansıtır.

Backend
JSJavaScript
TSTypeScript
PYPython
JAJava
C#C#
PHPPHP
GOGo
Mobil
SWSwift
KTKotlin
Frontend
Re/JSReact + JavaScript
Re/TSReact + TypeScript
Vu/JSVue + JavaScript
Vu/TSVue + TypeScript
Ng/JSAngular + JavaScript
Ng/TSAngular + TypeScript
1const query = `SELECT * FROM users
2 WHERE email = ${req.body.email}`
3// Vulnerable: string interpolation

Eğitimi zorunlu hâle getirebilmenizi sağlayan şey, içerik kapsamıdır.

PCI DSS 4.0.1 ve AB Siber Dayanıklılık Yasası gibi uyumluluk çerçeveleri "ekibe OWASP Top 10 eğitimini verdik" demeyi kabul etmez. Stack'inizde fiilen görünen zafiyet sınıflarının kapsanmasını beklerler. Kategoriler genelinde genişlik ve diller genelinde derinlik, bir güvenlik takımının bu eğitimi tüm mühendislik organizasyonuna zorunlu kılmasını — hiçbir takımı kapsam dışında bırakmadan — mümkün kılan şeydir.

Kendi stack'inizde görün.

Interaktif demo, ekibinizin dilini seçmenize ve egzersizleri tam o stack üzerinde çalıştırmanıza olanak tanır.