{"id":15938,"date":"2026-06-22T17:32:26","date_gmt":"2026-06-22T14:32:26","guid":{"rendered":"https:\/\/www.ihs.com.tr\/blog\/?p=15938"},"modified":"2026-06-22T17:32:26","modified_gmt":"2026-06-22T14:32:26","slug":"xxe-xml-harici-varlik-zafiyeti-nedir","status":"publish","type":"post","link":"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/","title":{"rendered":"XXE (XML Harici Varl\u0131k) Zafiyeti Nedir? XML \u0130\u015flenirken \u00d6zel Veriler Nas\u0131l S\u0131zd\u0131r\u0131l\u0131r?"},"content":{"rendered":"<p>XML Harici Varl\u0131k (XXE) sald\u0131r\u0131lar\u0131, web uygulamalar\u0131n\u0131n XML verilerini i\u015fleme bi\u00e7imindeki bir zafiyetten faydalanan ciddi bir siber tehdittir. Bu zafiyet, sald\u0131rganlar\u0131n sunucu dosya sistemindeki hassas verilere eri\u015fmesine, sunucu taraf\u0131nda sahte istekler (SSRF) olu\u015fturarak i\u00e7 a\u011f kaynaklar\u0131n\u0131 taramas\u0131na ve hatta hizmet reddi (DoS) sald\u0131r\u0131lar\u0131yla sistemleri tamamen eri\u015filemez hale getirmesine olanak tan\u0131r. Uygulamalar\u0131n giderek daha karma\u015f\u0131k hale geldi\u011fi ve veri al\u0131\u015fveri\u015fi i\u00e7in XML&#8217;in yayg\u0131n olarak kullan\u0131ld\u0131\u011f\u0131 g\u00fcn\u00fcm\u00fczde, XXE&#8217;nin nas\u0131l \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131, potansiyel tehlikelerini ve en etkili korunma y\u00f6ntemlerini anlamak, geli\u015ftiriciler ve sistem y\u00f6neticileri i\u00e7in hayati \u00f6nem ta\u015f\u0131maktad\u0131r.<\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_77 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u0130\u00e7erik Tablosu<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-6a39b8b42e987\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\" id=\"ez-toc-cssicon-toggle-item-6a39b8b42e987\" aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XML-ve-Temel-Bilesenleri\" >XML ve Temel Bile\u015fenleri<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XML-Genisletilebilir-Isaretleme-Dili-Nedir\" >XML (Geni\u015fletilebilir \u0130\u015faretleme Dili) Nedir?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#DTD-Belge-Turu-Tanimi-ve-Gorevleri\" >DTD (Belge T\u00fcr\u00fc Tan\u0131m\u0131) ve G\u00f6revleri<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XML-Varliklari-Entities-Nedir-ve-Nasil-Calisir\" >XML Varl\u0131klar\u0131 (Entities) Nedir ve Nas\u0131l \u00c7al\u0131\u015f\u0131r?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XXE-XML-Harici-Varlik-Zafiyeti-Nedir\" >XXE (XML Harici Varl\u0131k) Zafiyeti Nedir?<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XXE-Zafiyetinin-Temel-Mantigi\" >XXE Zafiyetinin Temel Mant\u0131\u011f\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XML-Ayristiricilarinin-Parsers-Zafiyetteki-Rolu\" >XML Ayr\u0131\u015ft\u0131r\u0131c\u0131lar\u0131n\u0131n (Parsers) Zafiyetteki Rol\u00fc<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Zafiyetin-Ortaya-Cikis-Kosullari\" >Zafiyetin Ortaya \u00c7\u0131k\u0131\u015f Ko\u015fullar\u0131<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XXE-Saldiri-Vektorleri-ve-Veri-Sizdirma-Yontemleri\" >XXE Sald\u0131r\u0131 Vekt\u00f6rleri ve Veri S\u0131zd\u0131rma Y\u00f6ntemleri<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Yerel-Dosyalarin-Okunmasi-File-Disclosure\" >Yerel Dosyalar\u0131n Okunmas\u0131 (File Disclosure)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Sunucu-Tarafi-Istek-Sahteciligi-SSRF-Saldirilari\" >Sunucu Taraf\u0131 \u0130stek Sahtecili\u011fi (SSRF) Sald\u0131r\u0131lar\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Hizmet-Reddi-Denial-of-Service-%E2%80%93-DoS-Saldirilari\" >Hizmet Reddi (Denial of Service &#8211; DoS) Sald\u0131r\u0131lar\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Ag-Taramasi-ve-Bilgi-Toplama\" >A\u011f Taramas\u0131 ve Bilgi Toplama<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XXE-Zafiyetinin-Tespiti-ve-Tanimlanmasi\" >XXE Zafiyetinin Tespiti ve Tan\u0131mlanmas\u0131<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Manuel-Kod-Incelemesi-ile-Tespit\" >Manuel Kod \u0130ncelemesi ile Tespit<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Dinamik-Uygulama-Guvenlik-Testi-DAST-ile-Tespit\" >Dinamik Uygulama G\u00fcvenlik Testi (DAST) ile Tespit<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Bant-Disi-Uygulama-Guvenlik-Testi-OAST-Teknikleri\" >Bant D\u0131\u015f\u0131 Uygulama G\u00fcvenlik Testi (OAST) Teknikleri<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XXE-Zafiyetine-Karsi-Korunma-ve-Onleme-Yontemleri\" >XXE Zafiyetine Kar\u015f\u0131 Korunma ve \u00d6nleme Y\u00f6ntemleri<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#En-Etkili-Yontem-DTD-ve-Harici-Varliklarin-Devre-Disi-Birakilmasi\" >En Etkili Y\u00f6ntem: DTD ve Harici Varl\u0131klar\u0131n Devre D\u0131\u015f\u0131 B\u0131rak\u0131lmas\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Girdi-Dogrulama-ve-Beyaz-Liste-Whitelist-Yaklasimi\" >Girdi Do\u011frulama ve Beyaz Liste (Whitelist) Yakla\u015f\u0131m\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-21\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Daha-Guvenli-Veri-Formatlarina-Gecis-JSON-vb\" >Daha G\u00fcvenli Veri Formatlar\u0131na Ge\u00e7i\u015f (JSON vb.)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-22\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Web-Uygulama-Guvenlik-Duvari-WAF-Kullanimi\" >Web Uygulama G\u00fcvenlik Duvar\u0131 (WAF) Kullan\u0131m\u0131<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-23\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Gercek-Dunya-Ornekleri-ve-Vaka-Analizleri\" >Ger\u00e7ek D\u00fcnya \u00d6rnekleri ve Vaka Analizleri<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-24\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Bilinen-Buyuk-Sirketlerde-Yasanmis-XXE-Zafiyetleri\" >Bilinen B\u00fcy\u00fck \u015eirketlerde Ya\u015fanm\u0131\u015f XXE Zafiyetleri<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-25\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XXE-Saldirilarinin-Yol-Actigi-Finansal-ve-Itibari-Kayiplar\" >XXE Sald\u0131r\u0131lar\u0131n\u0131n Yol A\u00e7t\u0131\u011f\u0131 Finansal ve \u0130tibari Kay\u0131plar<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-26\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#XXE-Zafiyetine-Karsi-Korumada-Neden-IHS-Telekomu-Tercih-Etmelisiniz\" >XXE Zafiyetine Kar\u015f\u0131 Korumada Neden \u0130HS Telekom&#8217;u Tercih Etmelisiniz?<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-27\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Gelismis-Web-Uygulama-Guvenlik-Duvari-WAF-Cozumleri\" >Geli\u015fmi\u015f Web Uygulama G\u00fcvenlik Duvar\u0131 (WAF) \u00c7\u00f6z\u00fcmleri<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-28\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Kapsamli-Sizma-Testi-Penetration-Testing-Hizmetleri\" >Kapsaml\u0131 S\u0131zma Testi (Penetration Testing) Hizmetleri<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-29\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#Guvenli-Kod-Gelistirme-Danismanligi-ve-Egitimleri\" >G\u00fcvenli Kod Geli\u015ftirme Dan\u0131\u015fmanl\u0131\u011f\u0131 ve E\u011fitimleri<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-30\" href=\"https:\/\/www.ihs.com.tr\/blog\/xxe-xml-harici-varlik-zafiyeti-nedir\/#724-Izleme-ve-Mudahale-Saglayan-Guvenlik-Operasyon-Merkezi-SOC\" >7\/24 \u0130zleme ve M\u00fcdahale Sa\u011flayan G\u00fcvenlik Operasyon Merkezi (SOC)<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"XML-ve-Temel-Bilesenleri\"><\/span>XML ve Temel Bile\u015fenleri<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>XXE zafiyetini tam olarak anlayabilmek i\u00e7in \u00f6ncelikle XML&#8217;in ve onu olu\u015fturan temel bile\u015fenlerin ne oldu\u011funu bilmek gerekir. XML, verileri hem insanlar hem de makineler taraf\u0131ndan kolayca okunabilecek bir formatta yap\u0131land\u0131rmak i\u00e7in kullan\u0131lan bir i\u015faretleme dilidir. Bu yap\u0131, belirli kurallar ve bile\u015fenler sayesinde tutarl\u0131 ve g\u00fcvenilir bir veri al\u0131\u015fveri\u015fi sa\u011flar. Ancak bu bile\u015fenlerin baz\u0131lar\u0131, g\u00fcvenli bir \u015fekilde yap\u0131land\u0131r\u0131lmad\u0131\u011f\u0131nda ciddi g\u00fcvenlik riskleri olu\u015fturabilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"XML-Genisletilebilir-Isaretleme-Dili-Nedir\"><\/span>XML (Geni\u015fletilebilir \u0130\u015faretleme Dili) Nedir?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>XML (Extensible Markup Language), verileri tan\u0131mlamak ve organize etmek i\u00e7in kullan\u0131lan bir metin tabanl\u0131 dildir. HTML&#8217;den farkl\u0131 olarak, XML&#8217;in \u00f6nceden tan\u0131mlanm\u0131\u015f etiketleri yoktur; bunun yerine, geli\u015ftiricilerin kendi ihtiya\u00e7lar\u0131na uygun etiketler olu\u015fturmas\u0131na olanak tan\u0131r. Bu esneklik, onu web servisleri, yap\u0131land\u0131rma dosyalar\u0131 ve veri al\u0131\u015fveri\u015fi gibi \u00e7ok \u00e7e\u015fitli alanlarda pop\u00fcler bir se\u00e7im haline getirir. XML belgesinin temel amac\u0131, veriyi i\u00e7eri\u011finden ve yap\u0131s\u0131ndan ay\u0131rarak ta\u015f\u0131nabilir ve platformdan ba\u011f\u0131ms\u0131z hale getirmektir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"DTD-Belge-Turu-Tanimi-ve-Gorevleri\"><\/span>DTD (Belge T\u00fcr\u00fc Tan\u0131m\u0131) ve G\u00f6revleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>DTD (Document Type Definition), bir XML belgesinin yap\u0131s\u0131n\u0131 ve yasal \u00f6\u011felerini tan\u0131mlayan bir kurallar b\u00fct\u00fcn\u00fcd\u00fcr. Bir DTD, belgede hangi etiketlerin kullan\u0131labilece\u011fini, bu etiketlerin hangi s\u0131rayla ve hangi niteliklerle gelebilece\u011fini belirler. K\u0131sacas\u0131, XML belgesi i\u00e7in bir &#8220;\u015fema&#8221; veya &#8220;do\u011frulama kural\u0131&#8221; g\u00f6revi g\u00f6r\u00fcr. DTD&#8217;ler, XML belgesinin i\u00e7inde (i\u00e7 DTD) veya ayr\u0131 bir dosyada (harici DTD) tan\u0131mlanabilir. XXE zafiyetinin temelinde, DTD&#8217;lerin &#8220;varl\u0131k&#8221; (entity) ad\u0131 verilen \u00f6zel bile\u015fenleri tan\u0131mlama ve i\u015fleme yetene\u011fi yatar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"XML-Varliklari-Entities-Nedir-ve-Nasil-Calisir\"><\/span>XML Varl\u0131klar\u0131 (Entities) Nedir ve Nas\u0131l \u00c7al\u0131\u015f\u0131r?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>XML varl\u0131klar\u0131, bir XML belgesinde tekrar eden i\u00e7erikleri, \u00f6zel karakterleri veya harici kaynaklardan gelen verileri temsil etmek i\u00e7in kullan\u0131lan de\u011fi\u015fkenler gibidir. Bir varl\u0131k tan\u0131mland\u0131\u011f\u0131nda, belgenin herhangi bir yerinde k\u0131sayolu kullan\u0131larak \u00e7a\u011fr\u0131labilir ve XML ayr\u0131\u015ft\u0131r\u0131c\u0131s\u0131 bu k\u0131sayolu varl\u0131\u011f\u0131n ger\u00e7ek de\u011feriyle de\u011fi\u015ftirir. Bu yap\u0131, hem belge y\u00f6netimini kolayla\u015ft\u0131r\u0131r hem de baz\u0131 durumlarda g\u00fcvenlik a\u00e7\u0131klar\u0131na kap\u0131 aralar.<\/p>\n<h4>\u0130\u00e7 Varl\u0131klar (Internal Entities)<\/h4>\n<p>\u0130\u00e7 varl\u0131klar, do\u011frudan DTD i\u00e7inde tan\u0131mlanan ve de\u011feri yine DTD i\u00e7inde belirtilen sabit bir metin olan varl\u0131klard\u0131r. Genellikle tekrar eden metinleri veya yasal uyar\u0131lar\u0131 k\u0131saltmak i\u00e7in kullan\u0131l\u0131rlar. \u00d6rne\u011fin, bir \u015firket ad\u0131n\u0131 belge boyunca kullanmak yerine, onu bir varl\u0131k olarak tan\u0131mlay\u0131p her seferinde bu varl\u0131\u011f\u0131 \u00e7a\u011f\u0131rmak daha pratiktir.<\/p>\n<h4>Harici Varl\u0131klar (External Entities)<\/h4>\n<p>Harici varl\u0131klar, XXE zafiyetinin ana kayna\u011f\u0131d\u0131r. Bu varl\u0131klar, de\u011ferlerini yerel veya uzak bir kaynaktan (\u00f6rne\u011fin bir dosya veya URL) alacak \u015fekilde tan\u0131mlan\u0131r. XML ayr\u0131\u015ft\u0131r\u0131c\u0131s\u0131 bu varl\u0131\u011f\u0131 i\u015fledi\u011finde, belirtilen kayna\u011fa bir istek g\u00f6nderir ve d\u00f6nen i\u00e7eri\u011fi XML belgesine yerle\u015ftirir. Bu \u00f6zellik, mod\u00fcler i\u00e7erik y\u00f6netimi i\u00e7in tasarlanm\u0131\u015f olsa da, sald\u0131rganlar\u0131n sunucudaki yerel dosyalara veya i\u00e7 a\u011fdaki di\u011fer sistemlere eri\u015fmesine olanak tan\u0131r.<\/p>\n<h4>Parametre Varl\u0131klar\u0131 (Parameter Entities)<\/h4>\n<p>Parametre varl\u0131klar\u0131, yaln\u0131zca DTD i\u00e7inde kullan\u0131labilen \u00f6zel varl\u0131klard\u0131r. Normal varl\u0131klardan farkl\u0131 olarak, XML belgesinin g\u00f6vdesinde de\u011fil, DTD&#8217;nin kendi yap\u0131s\u0131n\u0131 olu\u015fturmak i\u00e7in kullan\u0131l\u0131rlar. Sald\u0131rganlar, parametre varl\u0131klar\u0131n\u0131 kullanarak daha karma\u015f\u0131k ve tespit edilmesi zor XXE sald\u0131r\u0131lar\u0131 ger\u00e7ekle\u015ftirebilir, \u00f6zellikle de bant d\u0131\u015f\u0131 (out-of-band) veri s\u0131zd\u0131rma tekniklerinde bu varl\u0131klardan faydalan\u0131rlar.<\/p>\n<div class=\"karsilastirma\">\n<table>\n<thead>\n<tr>\n<th>Varl\u0131k T\u00fcr\u00fc<\/th>\n<th>Tan\u0131mland\u0131\u011f\u0131 Yer<\/th>\n<th>De\u011fer Kayna\u011f\u0131<\/th>\n<th>Kullan\u0131m Alan\u0131<\/th>\n<th>G\u00fcvenlik Riski<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>\u0130\u00e7 Varl\u0131k (Internal Entity)<\/td>\n<td>DTD i\u00e7inde<\/td>\n<td>DTD i\u00e7inde tan\u0131ml\u0131 metin<\/td>\n<td>Tekrar eden metinleri k\u0131saltma<\/td>\n<td>D\u00fc\u015f\u00fck (DoS sald\u0131r\u0131lar\u0131nda kullan\u0131labilir)<\/td>\n<\/tr>\n<tr>\n<td>Harici Varl\u0131k (External Entity)<\/td>\n<td>DTD i\u00e7inde<\/td>\n<td>Yerel dosya veya harici URL<\/td>\n<td>Harici i\u00e7eri\u011fi belgeye dahil etme<\/td>\n<td>\u00c7ok Y\u00fcksek (Dosya okuma, SSRF)<\/td>\n<\/tr>\n<tr>\n<td>Parametre Varl\u0131\u011f\u0131 (Parameter Entity)<\/td>\n<td>DTD i\u00e7inde<\/td>\n<td>DTD i\u00e7i metin veya harici kaynak<\/td>\n<td>DTD yap\u0131s\u0131n\u0131 dinamik hale getirme<\/td>\n<td>Y\u00fcksek (Karma\u015f\u0131k XXE sald\u0131r\u0131lar\u0131)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2><span class=\"ez-toc-section\" id=\"XXE-XML-Harici-Varlik-Zafiyeti-Nedir\"><\/span>XXE (XML Harici Varl\u0131k) Zafiyeti Nedir?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>XXE, bir uygulaman\u0131n g\u00fcvenli olmayan bir \u015fekilde yap\u0131land\u0131r\u0131lm\u0131\u015f bir XML ayr\u0131\u015ft\u0131r\u0131c\u0131s\u0131 kullanarak kullan\u0131c\u0131dan veya ba\u015fka bir g\u00fcvensiz kaynaktan gelen XML girdisini i\u015flemesiyle ortaya \u00e7\u0131kan bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131d\u0131r. Sald\u0131rgan, bu zafiyetten yararlanarak XML girdisi i\u00e7ine \u00f6zel olarak haz\u0131rlanm\u0131\u015f harici varl\u0131klar enjekte eder. Uygulaman\u0131n XML ayr\u0131\u015ft\u0131r\u0131c\u0131s\u0131 bu girdiyi i\u015flerken, k\u00f6t\u00fc ama\u00e7l\u0131 harici varl\u0131\u011f\u0131 \u00e7\u00f6z\u00fcmlemeye \u00e7al\u0131\u015f\u0131r ve bu s\u00fcre\u00e7te sald\u0131rgan\u0131n belirtti\u011fi yerel dosyalara veya dahili a\u011f kaynaklar\u0131na eri\u015fim sa\u011flar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"XXE-Zafiyetinin-Temel-Mantigi\"><\/span>XXE Zafiyetinin Temel Mant\u0131\u011f\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Zafiyetin temel mant\u0131\u011f\u0131, XML standard\u0131n\u0131n bir \u00f6zelli\u011fi olan &#8220;harici varl\u0131k&#8221; deste\u011finin k\u00f6t\u00fcye kullan\u0131lmas\u0131na dayan\u0131r. Normalde bu \u00f6zellik, bir XML belgesinin farkl\u0131 kaynaklardan veri i\u00e7ermesine izin vermek i\u00e7in tasarlanm\u0131\u015ft\u0131r. Ancak, XML ayr\u0131\u015ft\u0131r\u0131c\u0131s\u0131, harici varl\u0131klar\u0131 i\u015flemek i\u00e7in yap\u0131land\u0131r\u0131lm\u0131\u015fsa ve i\u015flenen XML verisi bir sald\u0131rgan taraf\u0131ndan kontrol edilebiliyorsa, sald\u0131rgan bu mekanizmay\u0131 sunucunun kendisinden veya eri\u015febildi\u011fi di\u011fer sistemlerden veri \u00e7almak i\u00e7in kullanabilir. Bu, temelde uygulaman\u0131n kimli\u011fini ve yetkilerini kullanarak hassas bilgilere yetkisiz eri\u015fim sa\u011flamak anlam\u0131na gelir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"XML-Ayristiricilarinin-Parsers-Zafiyetteki-Rolu\"><\/span>XML Ayr\u0131\u015ft\u0131r\u0131c\u0131lar\u0131n\u0131n (Parsers) Zafiyetteki Rol\u00fc<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>XXE zafiyetinin varl\u0131\u011f\u0131 veya yoklu\u011fu tamamen kullan\u0131lan XML ayr\u0131\u015ft\u0131r\u0131c\u0131s\u0131n\u0131n (parser) yap\u0131land\u0131rmas\u0131na ba\u011fl\u0131d\u0131r. Bir\u00e7ok programlama dili ve framework&#8217;te kullan\u0131lan varsay\u0131lan XML ayr\u0131\u015ft\u0131r\u0131c\u0131lar\u0131, geriye d\u00f6n\u00fck uyumluluk nedeniyle harici varl\u0131klar\u0131 i\u015flemeye varsay\u0131lan olarak izin verebilir. Bu durum, geli\u015ftiricilerin bu tehlikeli \u00f6zelli\u011fi bilerek devre d\u0131\u015f\u0131 b\u0131rakmad\u0131\u011f\u0131 s\u00fcrece uygulaman\u0131n savunmas\u0131z kalmas\u0131na neden olur. Zafiyetin s\u00f6m\u00fcr\u00fclmesi i\u00e7in ayr\u0131\u015ft\u0131r\u0131c\u0131n\u0131n DTD i\u015flemeyi ve harici genel varl\u0131klar\u0131 \u00e7\u00f6z\u00fcmlemeyi desteklemesi gerekir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Zafiyetin-Ortaya-Cikis-Kosullari\"><\/span>Zafiyetin Ortaya \u00c7\u0131k\u0131\u015f Ko\u015fullar\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Bir XXE zafiyetinin ba\u015far\u0131l\u0131 bir \u015fekilde s\u00f6m\u00fcr\u00fclebilmesi i\u00e7in birka\u00e7 ko\u015fulun bir araya gelmesi gerekmektedir:<\/p>\n<ul>\n<li><b>XML Veri \u0130\u015fleme:<\/b> Uygulaman\u0131n, SOAP istekleri, dosya y\u00fcklemeleri (\u00f6rn. .docx, .xlsx, .svg) veya REST API \u00e7a\u011fr\u0131lar\u0131 gibi yollarla XML verilerini kabul etmesi ve i\u015flemesi gerekir.<\/li>\n<li><b>G\u00fcvensiz Ayr\u0131\u015ft\u0131r\u0131c\u0131:<\/b> Kullan\u0131lan XML ayr\u0131\u015ft\u0131r\u0131c\u0131s\u0131n\u0131n DTD&#8217;leri ve harici varl\u0131klar\u0131 i\u015flemeye izin verecek \u015fekilde yap\u0131land\u0131r\u0131lm\u0131\u015f olmas\u0131 zorunludur.<\/li>\n<li><b>Kontrol Edilebilir Girdi:<\/b> Sald\u0131rgan\u0131n, uygulama taraf\u0131ndan i\u015flenecek olan XML verisinin tamam\u0131n\u0131 veya bir k\u0131sm\u0131n\u0131 (genellikle DTD tan\u0131m\u0131n\u0131) manip\u00fcle edebilmesi gerekir.<\/li>\n<li><b>Veri S\u0131zd\u0131rma Kanal\u0131:<\/b> Sald\u0131rgan\u0131n, s\u0131zd\u0131r\u0131lan veriyi uygulaman\u0131n HTTP yan\u0131t\u0131 \u00fczerinden (bant i\u00e7i) veya kontrol etti\u011fi harici bir sisteme yap\u0131lan bir a\u011f iste\u011fiyle (bant d\u0131\u015f\u0131) alabilmesi gerekir.<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"XXE-Saldiri-Vektorleri-ve-Veri-Sizdirma-Yontemleri\"><\/span>XXE Sald\u0131r\u0131 Vekt\u00f6rleri ve Veri S\u0131zd\u0131rma Y\u00f6ntemleri<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>XXE zafiyeti, tek bir amaca hizmet etmeyen, aksine bir dizi farkl\u0131 sald\u0131r\u0131 vekt\u00f6r\u00fcn\u00fc m\u00fcmk\u00fcn k\u0131lan \u00e7ok y\u00f6nl\u00fc bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131d\u0131r. Sald\u0131rganlar, bu zafiyeti kullanarak hassas dosyalar\u0131 okumaktan i\u00e7 a\u011flar\u0131 taramaya, hatta sistemleri tamamen devre d\u0131\u015f\u0131 b\u0131rakmaya kadar geni\u015f bir yelpazede k\u00f6t\u00fc ama\u00e7l\u0131 eylemler ger\u00e7ekle\u015ftirebilirler. Bu sald\u0131r\u0131lar\u0131n her biri, sunucu kaynaklar\u0131n\u0131n ve verilerinin b\u00fct\u00fcnl\u00fc\u011f\u00fc i\u00e7in ciddi tehditler olu\u015fturur.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Yerel-Dosyalarin-Okunmasi-File-Disclosure\"><\/span>Yerel Dosyalar\u0131n Okunmas\u0131 (File Disclosure)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Bu, XXE&#8217;nin en yayg\u0131n ve en bilinen s\u00f6m\u00fcr\u00fc y\u00f6ntemidir. Sald\u0131rganlar, harici varl\u0131klar\u0131 `file:\/\/` \u015femas\u0131n\u0131 kullanacak \u015fekilde tan\u0131mlayarak sunucunun dosya sistemindeki herhangi bir dosyay\u0131 okuyabilir. Uygulaman\u0131n \u00e7al\u0131\u015fma izinleri dahilinde, kritik sistem ve yap\u0131land\u0131rma dosyalar\u0131na eri\u015fim sa\u011flanabilir.<\/p>\n<h4>\/etc\/passwd gibi hassas sistem dosyalar\u0131na eri\u015fim<\/h4>\n<p>Sald\u0131rganlar, sunucudaki kullan\u0131c\u0131 hesaplar\u0131 hakk\u0131nda bilgi i\u00e7eren `\/etc\/passwd` (Linux) veya `C:\\Windows\\win.ini` (Windows) gibi dosyalar\u0131 okumak i\u00e7in \u00f6zel XML y\u00fckleri (payload) olu\u015fturabilirler. Bu bilgiler, sald\u0131r\u0131n\u0131n sonraki a\u015famalar\u0131nda di\u011fer sistemlere s\u0131zmak i\u00e7in kullan\u0131labilir.<\/p>\n<h4>Uygulama kaynak kodlar\u0131n\u0131n s\u0131zd\u0131r\u0131lmas\u0131<\/h4>\n<p>Veritaban\u0131 ba\u011flant\u0131 bilgileri, API anahtarlar\u0131 veya di\u011fer gizli bilgileri i\u00e7eren uygulama yap\u0131land\u0131rma dosyalar\u0131 (\u00f6rn. `web.config`, `pom.xml`) veya do\u011frudan uygulaman\u0131n kaynak kodlar\u0131, XXE arac\u0131l\u0131\u011f\u0131yla s\u0131zd\u0131r\u0131labilir. Bu durum, sald\u0131rgan\u0131n daha derin ve y\u0131k\u0131c\u0131 sald\u0131r\u0131lar ger\u00e7ekle\u015ftirmesine olanak tan\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Sunucu-Tarafi-Istek-Sahteciligi-SSRF-Saldirilari\"><\/span>Sunucu Taraf\u0131 \u0130stek Sahtecili\u011fi (SSRF) Sald\u0131r\u0131lar\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>XXE, g\u00fc\u00e7l\u00fc bir Sunucu Taraf\u0131 \u0130stek Sahtecili\u011fi (SSRF) sald\u0131r\u0131 vekt\u00f6r\u00fcd\u00fcr. Harici varl\u0131klar, `file:\/\/` yerine `http:\/\/` veya `https:\/\/` gibi protokolleri kullanarak sunucunun kendisinden ba\u015fka sistemlere a\u011f istekleri yapmas\u0131n\u0131 sa\u011flayabilir. Bu, sald\u0131rgan\u0131n, normalde eri\u015femeyece\u011fi i\u00e7 a\u011f kaynaklar\u0131na dolayl\u0131 olarak eri\u015fmesine olanak tan\u0131r.<\/p>\n<h4>\u0130\u00e7 a\u011fdaki sistemlere ve servislere eri\u015fim<\/h4>\n<p>Sald\u0131rganlar, XXE&#8217;yi kullanarak g\u00fcvenlik duvar\u0131n\u0131n arkas\u0131nda bulunan ve internete kapal\u0131 olan dahili sistemlere (veritabanlar\u0131, y\u00f6netim panelleri, di\u011fer mikroservisler) HTTP istekleri g\u00f6nderebilir. Bu, i\u00e7 a\u011f\u0131n haritalanmas\u0131 ve daha fazla zafiyetin ke\u015ffedilmesi i\u00e7in kullan\u0131labilir. G\u00fcvenilir bir <a href=\"https:\/\/www.ihs.com.tr\/web-hosting\/\" target=\"_blank\">hosting<\/a> altyap\u0131s\u0131, bu t\u00fcr i\u00e7 a\u011f sald\u0131r\u0131lar\u0131na kar\u015f\u0131 ek koruma katmanlar\u0131 sunabilir.<\/p>\n<h4>Bulut metadata servislerinin istismar\u0131<\/h4>\n<p>AWS, Google Cloud ve Azure gibi bulut platformlar\u0131nda \u00e7al\u0131\u015fan sunucular, \u00f6zel bir IP adresi (\u00f6rn. 169.254.169.254) \u00fczerinden eri\u015filebilen bir metadata servisine sahiptir. Bu servis, ge\u00e7ici eri\u015fim anahtarlar\u0131, roller ve di\u011fer hassas bilgileri bar\u0131nd\u0131r\u0131r. Sald\u0131rganlar, XXE tabanl\u0131 bir SSRF sald\u0131r\u0131s\u0131 ile bu metadata servisine istek g\u00f6ndererek bulut hesab\u0131n\u0131n kimlik bilgilerini ele ge\u00e7irebilirler.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Hizmet-Reddi-Denial-of-Service-%E2%80%93-DoS-Saldirilari\"><\/span>Hizmet Reddi (Denial of Service &#8211; DoS) Sald\u0131r\u0131lar\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>XXE zafiyeti, sunucu kaynaklar\u0131n\u0131 t\u00fcketerek uygulamay\u0131 veya sunucuyu tamamen hizmet veremez hale getirmek i\u00e7in de kullan\u0131labilir. Bu t\u00fcr sald\u0131r\u0131lar genellikle veri s\u0131zd\u0131rmay\u0131 ama\u00e7lamaz, bunun yerine sistemi \u00e7\u00f6kertmeyi hedefler.<\/p>\n<h4>&#8220;Billion Laughs&#8221; Sald\u0131r\u0131s\u0131<\/h4>\n<p>Bu sald\u0131r\u0131, i\u00e7 i\u00e7e ge\u00e7mi\u015f XML varl\u0131klar\u0131n\u0131n katlanarak b\u00fcy\u00fcmesi prensibine dayan\u0131r. Sald\u0131rgan, bir varl\u0131\u011f\u0131 di\u011ferinin i\u00e7inde defalarca tan\u0131mlayarak k\u00fc\u00e7\u00fck boyutlu bir XML y\u00fck\u00fc olu\u015fturur. XML ayr\u0131\u015ft\u0131r\u0131c\u0131s\u0131 bu varl\u0131klar\u0131 \u00e7\u00f6z\u00fcmlemeye ba\u015flad\u0131\u011f\u0131nda, bellek kullan\u0131m\u0131 logaritmik olarak artar ve k\u0131sa s\u00fcrede <a href=\"https:\/\/www.ihs.com.tr\/sunucu-kiralama\/\" target=\"_blank\">sunucu<\/a> kaynaklar\u0131n\u0131n t\u00fckenmesine ve uygulaman\u0131n \u00e7\u00f6kmesine neden olur. Bu sald\u0131r\u0131 ayn\u0131 zamanda &#8220;XML Bombas\u0131&#8221; olarak da bilinir.<\/p>\n<h4>&#8220;XML Bomb&#8221; ve kaynak t\u00fcketimi<\/h4>\n<p>Billion Laughs sald\u0131r\u0131s\u0131na ek olarak, sald\u0131rganlar harici varl\u0131klar\u0131 `\/dev\/urandom` gibi s\u00fcrekli veri \u00fcreten veya \u00e7ok b\u00fcy\u00fck boyutlu dosyalara y\u00f6nlendirerek de kaynak t\u00fcketimine neden olabilirler. Ayr\u0131\u015ft\u0131r\u0131c\u0131 bu kaynaklar\u0131 okumaya ve i\u015flemeye \u00e7al\u0131\u015ft\u0131\u011f\u0131nda, CPU ve bellek kullan\u0131m\u0131 h\u0131zla artarak hizmet reddine yol a\u00e7ar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Ag-Taramasi-ve-Bilgi-Toplama\"><\/span>A\u011f Taramas\u0131 ve Bilgi Toplama<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>SSRF yetene\u011fi sayesinde XXE, sald\u0131rganlar i\u00e7in etkili bir i\u00e7 a\u011f tarama arac\u0131 haline gelebilir. Sald\u0131rgan, farkl\u0131 IP adreslerine ve port numaralar\u0131na y\u00f6nelik harici varl\u0131k tan\u0131mlar\u0131 i\u00e7eren XML istekleri g\u00f6ndererek, uygulaman\u0131n verdi\u011fi hata mesajlar\u0131na veya yan\u0131t s\u00fcrelerine g\u00f6re i\u00e7 a\u011fdaki hangi sistemlerin ve portlar\u0131n a\u00e7\u0131k oldu\u011funu tespit edebilir. Bu, sald\u0131rgan\u0131n sald\u0131r\u0131 y\u00fczeyini geni\u015fletmesine ve hedef alabilece\u011fi yeni zay\u0131f noktalar bulmas\u0131na yard\u0131mc\u0131 olur.<\/p>\n<h4>\u0130\u00e7 a\u011fdaki a\u00e7\u0131k portlar\u0131n taranmas\u0131<\/h4>\n<p>\u00d6rne\u011fin, sald\u0131rgan `http:\/\/192.168.1.10:8080` gibi bir adrese y\u00f6nlendirilmi\u015f bir harici varl\u0131k olu\u015fturabilir. E\u011fer bu porta ba\u011flant\u0131 ba\u015far\u0131l\u0131 olursa, ayr\u0131\u015ft\u0131r\u0131c\u0131 farkl\u0131 bir hata mesaj\u0131 veya daha uzun bir yan\u0131t s\u00fcresi d\u00f6nd\u00fcrebilir. Bu tepkileri analiz eden sald\u0131rgan, i\u00e7 a\u011f topolojisi hakk\u0131nda de\u011ferli bilgiler edinebilir.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"XXE-Zafiyetinin-Tespiti-ve-Tanimlanmasi\"><\/span>XXE Zafiyetinin Tespiti ve Tan\u0131mlanmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>XXE zafiyetlerini tespit etmek, hem kaynak kodun dikkatli bir \u015fekilde incelenmesini hem de uygulaman\u0131n davran\u0131\u015f\u0131n\u0131 d\u0131\u015far\u0131dan test etmeyi gerektiren \u00e7ok ad\u0131ml\u0131 bir s\u00fcre\u00e7tir. Geli\u015ftiriciler ve g\u00fcvenlik uzmanlar\u0131, bu zafiyetleri proaktif olarak bulmak ve d\u00fczeltmek i\u00e7in \u00e7e\u015fitli manuel ve otomatik tekniklerden yararlan\u0131r. Erken tespit, potansiyel bir siber sald\u0131r\u0131n\u0131n \u00f6nlenmesinde kritik bir rol oynar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Manuel-Kod-Incelemesi-ile-Tespit\"><\/span>Manuel Kod \u0130ncelemesi ile Tespit<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Manuel kod analizi, XXE zafiyetlerini bulman\u0131n en g\u00fcvenilir yollar\u0131ndan biridir. Bu yakla\u015f\u0131m, uygulaman\u0131n XML i\u015fleyen k\u0131s\u0131mlar\u0131n\u0131 do\u011frudan inceleyerek potansiyel olarak g\u00fcvensiz yap\u0131land\u0131rmalar\u0131 ve k\u00fct\u00fcphane kullan\u0131mlar\u0131n\u0131 belirlemeyi i\u00e7erir.<\/p>\n<h4>G\u00fcvensiz XML ayr\u0131\u015ft\u0131r\u0131c\u0131 yap\u0131land\u0131rmalar\u0131<\/h4>\n<p>Kod incelemesi s\u0131ras\u0131nda odaklan\u0131lmas\u0131 gereken ilk nokta, XML ayr\u0131\u015ft\u0131r\u0131c\u0131lar\u0131n\u0131n nas\u0131l ba\u015flat\u0131ld\u0131\u011f\u0131 ve yap\u0131land\u0131r\u0131ld\u0131\u011f\u0131d\u0131r. Geli\u015ftiriciler, kullan\u0131lan k\u00fct\u00fcphanenin belgelerini kontrol ederek DTD&#8217;lerin ve harici varl\u0131klar\u0131n i\u015flenmesini devre d\u0131\u015f\u0131 b\u0131rakan \u00f6zelliklerin (feature) veya \u00f6zelliklerin (property) do\u011fru bir \u015fekilde ayarlan\u0131p ayarlanmad\u0131\u011f\u0131n\u0131 do\u011frulamal\u0131d\u0131r. \u00d6rne\u011fin, Java&#8217;da `FEATURE_SECURE_PROCESSING` \u00f6zelli\u011finin `true` olarak ayarlan\u0131p ayarlanmad\u0131\u011f\u0131 kontrol edilmelidir.<\/p>\n<h4>Harici varl\u0131k i\u015fleme fonksiyonlar\u0131n\u0131n kontrol\u00fc<\/h4>\n<p>Kodda, harici varl\u0131klar\u0131 veya DTD&#8217;leri etkinle\u015ftiren fonksiyon \u00e7a\u011fr\u0131lar\u0131 (\u00f6rne\u011fin, Java&#8217;da `setExpandEntityReferences(true)`) aranmal\u0131d\u0131r. Bu t\u00fcr fonksiyonlar\u0131n varl\u0131\u011f\u0131, uygulaman\u0131n potansiyel olarak XXE sald\u0131r\u0131lar\u0131na kar\u015f\u0131 savunmas\u0131z oldu\u011funun g\u00fc\u00e7l\u00fc bir g\u00f6stergesidir. \u00d6zellikle eski veya g\u00fcncellenmemi\u015f k\u00fct\u00fcphanelerin kullan\u0131ld\u0131\u011f\u0131 projelerde bu t\u00fcr g\u00fcvensiz varsay\u0131lan ayarlara s\u0131k\u00e7a rastlan\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Dinamik-Uygulama-Guvenlik-Testi-DAST-ile-Tespit\"><\/span>Dinamik Uygulama G\u00fcvenlik Testi (DAST) ile Tespit<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>DAST, \u00e7al\u0131\u015fan bir uygulamay\u0131 d\u0131\u015far\u0131dan bir sald\u0131rgan\u0131n bak\u0131\u015f a\u00e7\u0131s\u0131yla test etme s\u00fcrecidir. Bu y\u00f6ntemde, uygulaman\u0131n kaynak koduna eri\u015fim olmadan, HTTP istekleri ve yan\u0131tlar\u0131 \u00fczerinden zafiyetler aran\u0131r.<\/p>\n<h4>Otomatik g\u00fcvenlik taray\u0131c\u0131lar\u0131n\u0131n kullan\u0131m\u0131<\/h4>\n<p>Burp Suite, OWASP ZAP gibi profesyonel g\u00fcvenlik taray\u0131c\u0131lar\u0131, XXE zafiyetlerini tespit etmek i\u00e7in \u00f6zel mod\u00fcllere sahiptir. Bu ara\u00e7lar, uygulaman\u0131n XML kabul eden t\u00fcm giri\u015f noktalar\u0131na (endpoints) otomatik olarak bilinen XXE sald\u0131r\u0131 y\u00fcklerini g\u00f6nderir ve uygulaman\u0131n yan\u0131tlar\u0131n\u0131 analiz ederek zafiyetin varl\u0131\u011f\u0131n\u0131 do\u011frulamaya \u00e7al\u0131\u015f\u0131r.<\/p>\n<h4>\u00d6zel haz\u0131rlanm\u0131\u015f XML y\u00fckleri (payloads) ile test etme<\/h4>\n<p>Otomatik taray\u0131c\u0131lara ek olarak, g\u00fcvenlik analistleri genellikle durumu daha iyi anlamak i\u00e7in manuel testler yaparlar. Basit bir dosya okuma (\u00f6rne\u011fin `\/etc\/hostname`) veya harici bir sisteme geri arama (callback) yapmay\u0131 deneyen \u00f6zel haz\u0131rlanm\u0131\u015f XML y\u00fckleri g\u00f6ndererek uygulaman\u0131n tepkisi incelenir. Yan\u0131tta beklenen dosya i\u00e7eri\u011finin veya harici sistemde bir HTTP iste\u011finin g\u00f6r\u00fclmesi, zafiyeti do\u011frular.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Bant-Disi-Uygulama-Guvenlik-Testi-OAST-Teknikleri\"><\/span>Bant D\u0131\u015f\u0131 Uygulama G\u00fcvenlik Testi (OAST) Teknikleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Baz\u0131 XXE zafiyetleri &#8220;k\u00f6r&#8221; (blind) olarak adland\u0131r\u0131l\u0131r, \u00e7\u00fcnk\u00fc sald\u0131rgan\u0131n s\u0131zd\u0131rd\u0131\u011f\u0131 veriler uygulaman\u0131n do\u011frudan HTTP yan\u0131t\u0131nda geri d\u00f6nmez. Bu gibi durumlarda, OAST teknikleri devreye girer. Bu teknikte, XXE y\u00fck\u00fc, s\u0131zd\u0131r\u0131lan veriyi (\u00f6rne\u011fin bir dosyan\u0131n i\u00e7eri\u011fini) sald\u0131rgan\u0131n kontrol\u00fcndeki bir sunucuya DNS sorgusu veya HTTP iste\u011fi olarak g\u00f6ndermeye zorlar. Sald\u0131rgan, kendi sunucusuna gelen bu &#8220;bant d\u0131\u015f\u0131&#8221; ba\u011flant\u0131y\u0131 izleyerek zafiyeti tespit eder ve veriyi elde eder.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"XXE-Zafiyetine-Karsi-Korunma-ve-Onleme-Yontemleri\"><\/span>XXE Zafiyetine Kar\u015f\u0131 Korunma ve \u00d6nleme Y\u00f6ntemleri<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>XXE zafiyetine kar\u015f\u0131 korunman\u0131n en temel prensibi, XML ayr\u0131\u015ft\u0131r\u0131c\u0131lar\u0131n\u0131n tehlikeli \u00f6zelliklerini devre d\u0131\u015f\u0131 b\u0131rakmakt\u0131r. Geli\u015ftiricilerin, kulland\u0131klar\u0131 programlama dili ve k\u00fct\u00fcphaneye \u00f6zg\u00fc g\u00fcvenli yap\u0131land\u0131rmalar\u0131 uygulamas\u0131 kritik \u00f6neme sahiptir. Savunmay\u0131 g\u00fc\u00e7lendirmek i\u00e7in girdi do\u011frulama, daha g\u00fcvenli veri formatlar\u0131na ge\u00e7i\u015f ve Web Uygulama G\u00fcvenlik Duvar\u0131 (WAF) gibi ek katmanlar da kullan\u0131labilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"En-Etkili-Yontem-DTD-ve-Harici-Varliklarin-Devre-Disi-Birakilmasi\"><\/span>En Etkili Y\u00f6ntem: DTD ve Harici Varl\u0131klar\u0131n Devre D\u0131\u015f\u0131 B\u0131rak\u0131lmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Neredeyse t\u00fcm XXE sald\u0131r\u0131lar\u0131, XML ayr\u0131\u015ft\u0131r\u0131c\u0131s\u0131n\u0131n DTD&#8217;leri ve harici varl\u0131klar\u0131 i\u015flemesiyle m\u00fcmk\u00fcn olur. E\u011fer uygulaman\u0131z\u0131n i\u015flevselli\u011fi bu \u00f6zelliklere ba\u011fl\u0131 de\u011filse (ki \u00e7o\u011fu durumda de\u011fildir), bunlar\u0131 tamamen devre d\u0131\u015f\u0131 b\u0131rakmak en kesin ve etkili \u00e7\u00f6z\u00fcmd\u00fcr. Bu, zafiyetin temel nedenini ortadan kald\u0131r\u0131r.<\/p>\n<div class=\"karsilastirma\">\n<table>\n<thead>\n<tr>\n<th>Programlama Dili<\/th>\n<th>K\u00fct\u00fcphane<\/th>\n<th>G\u00fcvenli Yap\u0131land\u0131rma Y\u00f6ntemi<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Java<\/td>\n<td>JAXP (DocumentBuilderFactory, SAXParserFactory vb.)<\/td>\n<td>`setFeature(&#8220;http:\/\/apache.org\/xml\/features\/disallow-doctype-decl&#8221;, true);` ayar\u0131 yap\u0131lmal\u0131d\u0131r.<\/td>\n<\/tr>\n<tr>\n<td>.NET<\/td>\n<td>XmlDocument, XmlTextReader<\/td>\n<td>`XmlReaderSettings` nesnesinde `DtdProcessing` `DtdProcessing.Prohibit` olarak ayarlanmal\u0131d\u0131r. `XmlResolver` `null` olarak ayarlanmal\u0131d\u0131r.<\/td>\n<\/tr>\n<tr>\n<td>PHP<\/td>\n<td>libxml2 (DOMDocument, simplexml_load_string)<\/td>\n<td>`libxml_disable_entity_loader(true);` fonksiyonu \u00e7a\u011fr\u0131lmal\u0131d\u0131r.<\/td>\n<\/tr>\n<tr>\n<td>Python<\/td>\n<td>xml.etree.ElementTree, lxml<\/td>\n<td>`lxml` i\u00e7in `XMLParser` olu\u015fturulurken `resolve_entities=False` parametresi kullan\u0131lmal\u0131d\u0131r. `ElementTree` varsay\u0131lan olarak g\u00fcvenlidir.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h4>Java Uygulamalar\u0131 \u0130\u00e7in G\u00fcvenli Yap\u0131land\u0131rma<\/h4>\n<p>Java&#8217;da XML i\u015fleyen k\u00fct\u00fcphaneler (JAXP, DOM4J vb.) genellikle varsay\u0131lan olarak g\u00fcvensizdir. `DocumentBuilderFactory` veya `SAXParserFactory` gibi fabrikalar\u0131 yap\u0131land\u0131r\u0131rken DTD&#8217;leri ve harici entity&#8217;leri yasaklayan \u00f6zellikleri a\u00e7\u0131k\u00e7a ayarlamak zorunludur. `XMLInputFactory` kullan\u0131l\u0131yorsa, `SUPPORT_DTD` \u00f6zelli\u011fi `false` olarak ayarlanmal\u0131d\u0131r.<\/p>\n<h4>.NET Uygulamalar\u0131 \u0130\u00e7in G\u00fcvenli Yap\u0131land\u0131rma<\/h4>\n<p>.NET Framework 4.5.2 ve sonraki s\u00fcr\u00fcmlerinde `XmlDocument` ve `XmlTextReader` gibi s\u0131n\u0131flar varsay\u0131lan olarak harici kaynaklar\u0131 \u00e7\u00f6z\u00fcmlemez (`XmlResolver` null&#8217;dur). Ancak eski s\u00fcr\u00fcmlerde veya bu ayarlar manuel olarak de\u011fi\u015ftirildiyse zafiyet olu\u015fabilir. En g\u00fcvenli yakla\u015f\u0131m, `XmlReaderSettings` kullanarak `DtdProcessing` \u00f6zelli\u011fini `Prohibit` olarak ayarlamak ve `XmlResolver`&#8217;\u0131 her zaman `null` olarak b\u0131rakmakt\u0131r.<\/p>\n<h4>PHP Uygulamalar\u0131 \u0130\u00e7in G\u00fcvenli Yap\u0131land\u0131rma<\/h4>\n<p>PHP&#8217;de XML i\u015fleme genellikle `libxml2` k\u00fct\u00fcphanesi \u00fczerinden yap\u0131l\u0131r. PHP 8.0 ve sonras\u0131 s\u00fcr\u00fcmlerde harici varl\u0131klar\u0131n y\u00fcklenmesi varsay\u0131lan olarak devre d\u0131\u015f\u0131 b\u0131rak\u0131lm\u0131\u015ft\u0131r. Ancak daha eski s\u00fcr\u00fcmler i\u00e7in, XML verisini i\u015flemeden \u00f6nce `libxml_disable_entity_loader(true);` fonksiyonunu \u00e7a\u011f\u0131rmak, XXE sald\u0131r\u0131lar\u0131n\u0131 \u00f6nlemek i\u00e7in yeterlidir.<\/p>\n<h4>Python Uygulamalar\u0131 \u0130\u00e7in G\u00fcvenli Yap\u0131land\u0131rma<\/h4>\n<p>Python&#8217;un standart k\u00fct\u00fcphanesi olan `xml.etree.ElementTree` gibi mod\u00fcller, harici varl\u0131klar\u0131 \u00e7\u00f6z\u00fcmlemedi\u011fi i\u00e7in varsay\u0131lan olarak XXE&#8217;ye kar\u015f\u0131 g\u00fcvenlidir. Ancak, daha zengin \u00f6zelliklere sahip olan `lxml` gibi \u00fc\u00e7\u00fcnc\u00fc taraf k\u00fct\u00fcphaneler kullan\u0131l\u0131yorsa, `XMLParser` nesnesini olu\u015ftururken `resolve_entities=False` bayra\u011f\u0131n\u0131n ayarland\u0131\u011f\u0131ndan emin olunmal\u0131d\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Girdi-Dogrulama-ve-Beyaz-Liste-Whitelist-Yaklasimi\"><\/span>Girdi Do\u011frulama ve Beyaz Liste (Whitelist) Yakla\u015f\u0131m\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>DTD veya harici varl\u0131klar\u0131 devre d\u0131\u015f\u0131 b\u0131rakman\u0131n m\u00fcmk\u00fcn olmad\u0131\u011f\u0131 nadir durumlarda, girdi do\u011frulama ikinci bir savunma hatt\u0131 olarak kullan\u0131labilir. Kullan\u0131c\u0131dan gelen XML verisi, bilinen ve g\u00fcvenli de\u011ferlerden olu\u015fan bir beyaz listeye (whitelist) g\u00f6re do\u011frulanmal\u0131d\u0131r. DTD tan\u0131m\u0131nda `DOCTYPE` gibi tehlikeli anahtar kelimelerin varl\u0131\u011f\u0131 kontrol edilerek k\u00f6t\u00fc ama\u00e7l\u0131 istekler engellenebilir. Ancak bu y\u00f6ntem, karma\u015f\u0131k atlatma tekniklerine kar\u015f\u0131 tam koruma sa\u011flamayabilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Daha-Guvenli-Veri-Formatlarina-Gecis-JSON-vb\"><\/span>Daha G\u00fcvenli Veri Formatlar\u0131na Ge\u00e7i\u015f (JSON vb.)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>M\u00fcmk\u00fcn olan her durumda, \u00f6zellikle istemci ile sunucu aras\u0131nda veya servisler aras\u0131 ileti\u015fimde, XML yerine JSON gibi daha basit ve varsay\u0131lan olarak daha g\u00fcvenli veri formatlar\u0131n\u0131 kullanmak en iyi \u00e7\u00f6z\u00fcmd\u00fcr. JSON&#8217;un DTD veya varl\u0131k i\u015fleme gibi karma\u015f\u0131k ve tehlikeli \u00f6zellikleri yoktur, bu da XXE gibi zafiyet s\u0131n\u0131flar\u0131n\u0131 tamamen ortadan kald\u0131r\u0131r. Yeni projeler geli\u015ftirilirken, veri serile\u015ftirme format\u0131 olarak JSON&#8217;u tercih etmek g\u00fcvenli\u011fi \u00f6nemli \u00f6l\u00e7\u00fcde art\u0131r\u0131r. G\u00fcvenli bir altyap\u0131 i\u00e7in <a href=\"https:\/\/www.ihs.com.tr\/sunucu-kiralama\/vds-sunucu.html\" target=\"_blank\">VDS<\/a> gibi sanalla\u015ft\u0131r\u0131lm\u0131\u015f ortamlar, izole ve kontrol edilebilir bir geli\u015ftirme alan\u0131 sunar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Web-Uygulama-Guvenlik-Duvari-WAF-Kullanimi\"><\/span>Web Uygulama G\u00fcvenlik Duvar\u0131 (WAF) Kullan\u0131m\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Web Uygulama G\u00fcvenlik Duvar\u0131 (WAF), uygulama katman\u0131nda bir filtre g\u00f6revi g\u00f6rerek gelen HTTP isteklerini analiz eder ve bilinen sald\u0131r\u0131 kal\u0131plar\u0131n\u0131 engeller. \u0130yi yap\u0131land\u0131r\u0131lm\u0131\u015f bir WAF, `DOCTYPE` anahtar kelimesi veya `SYSTEM` gibi harici varl\u0131k tan\u0131mlay\u0131c\u0131lar\u0131 i\u00e7eren istekleri tespit ederek XXE sald\u0131r\u0131 giri\u015fimlerini engelleyebilir. WAF, koddaki zafiyeti d\u00fczeltmese de, sald\u0131r\u0131lar\u0131n ba\u015far\u0131l\u0131 olmas\u0131n\u0131 \u00f6nleyerek \u00f6nemli bir koruma katman\u0131 sa\u011flar. G\u00fcvenli bir ba\u015flang\u0131\u00e7 i\u00e7in <a href=\"https:\/\/www.ihs.com.tr\/domain\/alan-adi-domain-tescili.html\" target=\"_blank\">alan ad\u0131<\/a> kayd\u0131n\u0131zla birlikte bir <a href=\"https:\/\/www.ihs.com.tr\/ssl\/\" target=\"_blank\">SSL sertifikas\u0131<\/a> ve WAF hizmeti almak b\u00fct\u00fcnsel bir g\u00fcvenlik yakla\u015f\u0131m\u0131d\u0131r.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Gercek-Dunya-Ornekleri-ve-Vaka-Analizleri\"><\/span>Ger\u00e7ek D\u00fcnya \u00d6rnekleri ve Vaka Analizleri<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>XXE zafiyeti, teorik bir tehdit olman\u0131n \u00e7ok \u00f6tesinde, ge\u00e7mi\u015fte d\u00fcnyan\u0131n en b\u00fcy\u00fck teknoloji \u015firketlerinden baz\u0131lar\u0131n\u0131 etkilemi\u015f somut bir risktir. Bu vakalar, en deneyimli geli\u015ftirici ekiplerinin bile bu t\u00fcr zafiyetleri g\u00f6zden ka\u00e7\u0131rabildi\u011fini ve XXE&#8217;nin ne kadar y\u0131k\u0131c\u0131 olabilece\u011fini g\u00f6stermektedir. Ger\u00e7ek d\u00fcnya \u00f6rnekleri, siber g\u00fcvenlikte proaktif \u00f6nlemlerin ve s\u00fcrekli denetimin \u00f6nemini vurgular.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Bilinen-Buyuk-Sirketlerde-Yasanmis-XXE-Zafiyetleri\"><\/span>Bilinen B\u00fcy\u00fck \u015eirketlerde Ya\u015fanm\u0131\u015f XXE Zafiyetleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Ge\u00e7mi\u015fte Facebook, PayPal, Twitter ve Google gibi teknoloji devlerinin \u00e7e\u015fitli \u00fcr\u00fcn ve servislerinde XXE zafiyetleri ke\u015ffedilmi\u015ftir. \u00d6rne\u011fin, bir vakada, bir dosya d\u00f6n\u00fc\u015ft\u00fcrme hizmetine y\u00fcklenen \u00f6zel haz\u0131rlanm\u0131\u015f bir belge arac\u0131l\u0131\u011f\u0131yla sunucunun yerel dosyalar\u0131na eri\u015fim sa\u011flanm\u0131\u015ft\u0131r. Ba\u015fka bir \u00f6rnekte, bir API u\u00e7 noktas\u0131na g\u00f6nderilen SOAP iste\u011fiyle i\u00e7 a\u011fdaki sistemler hakk\u0131nda bilgi s\u0131zd\u0131r\u0131lm\u0131\u015ft\u0131r. Bu t\u00fcr olaylar genellikle g\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131 taraf\u0131ndan &#8220;bug bounty&#8221; (hata \u00f6d\u00fcl) programlar\u0131 arac\u0131l\u0131\u011f\u0131yla sorumlu bir \u015fekilde bildirilir ve \u015firketler taraf\u0131ndan h\u0131zla d\u00fczeltilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"XXE-Saldirilarinin-Yol-Actigi-Finansal-ve-Itibari-Kayiplar\"><\/span>XXE Sald\u0131r\u0131lar\u0131n\u0131n Yol A\u00e7t\u0131\u011f\u0131 Finansal ve \u0130tibari Kay\u0131plar<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Ba\u015far\u0131l\u0131 bir XXE sald\u0131r\u0131s\u0131n\u0131n sonu\u00e7lar\u0131 a\u011f\u0131r olabilir. M\u00fc\u015fteri verileri, ticari s\u0131rlar veya fikri m\u00fclkiyet gibi hassas bilgilerin s\u0131zd\u0131r\u0131lmas\u0131, \u015firketler i\u00e7in ciddi finansal kay\u0131plara yol a\u00e7abilir. Bu kay\u0131plar sadece yasal cezalar ve tazminatlarla s\u0131n\u0131rl\u0131 kalmaz; ayn\u0131 zamanda m\u00fc\u015fteri g\u00fcveninin sars\u0131lmas\u0131 ve marka itibar\u0131n\u0131n zedelenmesi gibi uzun vadeli etkileri de beraberinde getirir. Bir hizmet reddi (DoS) sald\u0131r\u0131s\u0131 ise web sitesinin veya hizmetin eri\u015filemez hale gelmesine neden olarak do\u011frudan gelir kayb\u0131na yol a\u00e7abilir.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"XXE-Zafiyetine-Karsi-Korumada-Neden-IHS-Telekomu-Tercih-Etmelisiniz\"><\/span>XXE Zafiyetine Kar\u015f\u0131 Korumada Neden \u0130HS Telekom&#8217;u Tercih Etmelisiniz?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>XXE gibi karma\u015f\u0131k ve tehlikeli siber tehditlere kar\u015f\u0131 korunmak, yaln\u0131zca g\u00fcvenli kod yazmaktan daha fazlas\u0131n\u0131 gerektirir. U\u00e7tan uca bir g\u00fcvenlik stratejisi, altyap\u0131dan uygulamaya kadar her katmanda proaktif koruma, s\u00fcrekli izleme ve uzman m\u00fcdahalesi gerektirir. \u0130HS Telekom, bu \u00e7ok katmanl\u0131 g\u00fcvenlik yakla\u015f\u0131m\u0131n\u0131 benimseyerek i\u015fletmenizin dijital varl\u0131klar\u0131n\u0131 korumak i\u00e7in kapsaml\u0131 \u00e7\u00f6z\u00fcmler sunar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Gelismis-Web-Uygulama-Guvenlik-Duvari-WAF-Cozumleri\"><\/span>Geli\u015fmi\u015f Web Uygulama G\u00fcvenlik Duvar\u0131 (WAF) \u00c7\u00f6z\u00fcmleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>\u0130HS Telekom&#8217;un sundu\u011fu geli\u015fmi\u015f WAF hizmetleri, bilinen XXE sald\u0131r\u0131 kal\u0131plar\u0131n\u0131 ve di\u011fer uygulama katman\u0131 tehditlerini daha uygulaman\u0131za ula\u015fmadan engeller. Ak\u0131ll\u0131 kural setleri ve s\u00fcrekli g\u00fcncellenen tehdit istihbarat\u0131 ile WAF, kodunuzda hen\u00fcz ke\u015ffedilmemi\u015f zafiyetler i\u00e7in bile etkili bir koruma kalkan\u0131 olu\u015fturur. Bu, geli\u015ftirme ekiplerinize zafiyetleri d\u00fczeltmeleri i\u00e7in zaman kazand\u0131r\u0131rken i\u015f s\u00fcreklili\u011finizi g\u00fcvence alt\u0131na al\u0131r. \u00d6zellikle <a href=\"https:\/\/www.ihs.com.tr\/web-hosting\/wordpress-hosting.html\" target=\"_blank\">WordPress hosting<\/a> gibi pop\u00fcler platformlarda WAF kullan\u0131m\u0131, yayg\u0131n sald\u0131r\u0131lara kar\u015f\u0131 ilk savunma hatt\u0131n\u0131 olu\u015fturur.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Kapsamli-Sizma-Testi-Penetration-Testing-Hizmetleri\"><\/span>Kapsaml\u0131 S\u0131zma Testi (Penetration Testing) Hizmetleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Uygulamalar\u0131n\u0131zdaki XXE ve benzeri zafiyetleri bir sald\u0131rgan\u0131n g\u00f6z\u00fcnden tespit etmek i\u00e7in en etkili yol d\u00fczenli s\u0131zma testleridir. \u0130HS Telekom&#8217;un deneyimli siber g\u00fcvenlik ekibi, manuel ve otomatik test tekniklerini bir arada kullanarak sistemlerinizi derinlemesine analiz eder. Ger\u00e7ekle\u015ftirdi\u011fimiz <a href=\"https:\/\/www.ihs.com.tr\/blog\/pentest-penetrasyon-testi-nedir-nasil-yapilir\/\" target=\"_blank\">s\u0131zma testi<\/a> (penetration testing) hizmetleri, sadece zafiyetleri bulmakla kalmaz, ayn\u0131 zamanda bu zafiyetlerin nas\u0131l d\u00fczeltilece\u011fine dair ayr\u0131nt\u0131l\u0131 ve uygulanabilir \u00f6neriler sunar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Guvenli-Kod-Gelistirme-Danismanligi-ve-Egitimleri\"><\/span>G\u00fcvenli Kod Geli\u015ftirme Dan\u0131\u015fmanl\u0131\u011f\u0131 ve E\u011fitimleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>G\u00fcvenli\u011fin temeli, geli\u015ftirme ya\u015fam d\u00f6ng\u00fcs\u00fcn\u00fcn en ba\u015f\u0131nda at\u0131l\u0131r. \u0130HS Telekom, geli\u015ftirme ekiplerinize y\u00f6nelik g\u00fcvenli kod geli\u015ftirme dan\u0131\u015fmanl\u0131\u011f\u0131 ve e\u011fitimleri sunarak, XXE gibi zafiyetlerin daha kod yaz\u0131l\u0131rken \u00f6nlenmesine yard\u0131mc\u0131 olur. Uzmanlar\u0131m\u0131z, ekibinize dil ve platforma \u00f6zg\u00fc en iyi g\u00fcvenlik pratiklerini \u00f6\u011freterek, g\u00fcvenlik bilincini art\u0131r\u0131r ve daha dayan\u0131kl\u0131 uygulamalar geli\u015ftirmenizi sa\u011flar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"724-Izleme-ve-Mudahale-Saglayan-Guvenlik-Operasyon-Merkezi-SOC\"><\/span>7\/24 \u0130zleme ve M\u00fcdahale Sa\u011flayan G\u00fcvenlik Operasyon Merkezi (SOC)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>T\u00fcm \u00f6nlemlere ra\u011fmen siber sald\u0131r\u0131lar her zaman bir olas\u0131l\u0131kt\u0131r. \u0130HS Telekom&#8217;un G\u00fcvenlik Operasyon Merkezi (SOC), sistemlerinizi 7\/24 izleyerek \u015f\u00fcpheli aktiviteleri ve anormallikleri an\u0131nda tespit eder. Bir sald\u0131r\u0131 giri\u015fimi alg\u0131land\u0131\u011f\u0131nda, uzman SOC ekibimiz h\u0131zla m\u00fcdahale ederek tehdidi izole eder, etkisiz hale getirir ve olas\u0131 zarar\u0131 en aza indirir. G\u00fcvenli\u011finiz i\u00e7in bir <a href=\"https:\/\/www.ihs.com.tr\/sunucu-kiralama\/vps-server.html\" target=\"_blank\">VPS<\/a> \u00fczerinde bar\u0131nd\u0131rd\u0131\u011f\u0131n\u0131z kritik uygulamalar\u0131n\u0131z i\u00e7in SOC hizmeti, kesintisiz koruma sa\u011flar.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>XML Harici Varl\u0131k (XXE) sald\u0131r\u0131lar\u0131, web uygulamalar\u0131n\u0131n XML verilerini i\u015fleme bi\u00e7imindeki bir zafiyetten faydalanan ciddi bir siber tehdittir. Bu zafiyet, sald\u0131rganlar\u0131n sunucu&hellip;<\/p>\n","protected":false},"author":3,"featured_media":15939,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[466],"tags":[],"class_list":["post-15938","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bilgi-guvenligi"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/15938","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=15938"}],"version-history":[{"count":1,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/15938\/revisions"}],"predecessor-version":[{"id":15940,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/15938\/revisions\/15940"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media\/15939"}],"wp:attachment":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=15938"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=15938"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=15938"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}