Yüksek Lisans Dönem Projesi · 2026

Mikroservis API Güvenliğinin
STRIDE Tehdit Modeli ile Analizi

E-ticaret mikroservis mimarisinde STRIDE kategorileri kullanılarak sistematik API güvenlik değerlendirmesi. Her tehdit canlı simülasyon ile gösterilmektedir.

API Aktif · 6 Endpoint
🎓 Emre Can AYKAÇ
🔬 Doç. Dr. Onur CERAN
📅 AYÜ · 2026
25
Maks. Risk Skoru
6
Tehdit Kategorisi
5
Kritik Tehdit
18.7
Ort. Risk Skoru
42
Analiz Edilen Kaynak
6
Karşı Önlem
STRIDE Tehdit Kategorileri · Risk Matrisi
S
20
/ 25 Risk Skoru
Spoofing
Kimlik Sahteciliği
Saldırgan zayıf imzalı JWT token ile yetkili kullanıcı kimliğine bürünüyor. Sınırsız süreli token üretiliyor.
POST /api/auth/login-weak
kısa ömürlü token, mTLS, OAuth 2.0 / OIDC
Olasılık × EtkiKRİTİK
T
15
/ 25 Risk Skoru
Tampering
Veri Manipülasyonu
İmza/bütünlük kontrolü olmadan sipariş fiyatı API çağrısıyla serbestçe değiştirilebiliyor.
PUT /api/orders/{id}/tamper
HMAC imzalama, TLS 1.3, bütünlük doğrulama
Olasılık × EtkiKRİTİK
R
12
/ 25 Risk Skoru
Repudiation
İnkâr
Merkezi audit log olmadan gerçekleştirilen API işlemleri inkâr edilebilir, adli iz takibi mümkün değil.
Tüm endpointler — log eksikliği
immutable log, OpenTelemetry, correlation ID
Olasılık × EtkiYÜKSEK
I
15
/ 25 Risk Skoru
Information Disclosure
Bilgi İfşası
Debug endpoint'i DB bağlantı şifresi, sunucu sürümü ve iç sistem detaylarını açık ediyor.
GET /api/products/debug
debug endpoint kaldır, genel hata mesajları
Olasılık × EtkiKRİTİK
D
25
/ 25 Risk Skoru
Denial of Service
Hizmet Reddi
Rate limiting ve timeout koruması olmayan endpoint. Arka arkaya çağrılınca tüm servis çöker.
GET /api/orders/stress
rate limiting, circuit breaker, WAF
Olasılık × EtkiKRİTİK
E
25
/ 25 Risk Skoru
Elevation of Privilege
Yetki Yükseltme (BOLA/IDOR)
Yetki kontrolü olmadan herhangi bir kullanıcı ID'si ile başka kullanıcının verisine erişilebiliyor.
GET /api/users/{id}/vulnerable
RBAC/ABAC, nesne düzeyi yetki doğrulama
Olasılık × EtkiKRİTİK
Canlı Güvenlik Simülasyonu

Saldırı Dene / Güvenli Sürümü Karşılaştır

Her STRIDE kategorisi için zafiyetli ve korumalı endpoint'leri karşılaştıralı test edin. Yanıtlar gerçek .NET API'sinden geliyor.

Simülasyonlar
Kimlik Sahteciliği
S
BOLA / IDOR
E
Bilgi İfşası
I
Hizmet Reddi
D
Veri Manipülasyonu
T
İnkâr / Log Eksikliği
R
S — Kimlik Sahteciliği (Spoofing)
Zayıf token vs. güvenli token üretimi karşılaştırması
● Kritik · 20/25
STRIDE-S Tespiti: Zayıf endpoint sınırsız geçerlilik süreli token üretiyor. Bu token ele geçirilirse saldırgan süresiz erişim kazanır.
İstek — Zafiyetli
POST /api/auth/login-weak
Content-Type: application/json

{
  "username": "emre",
  "password": "pass123"
}
Yanıt
// Simülasyonu başlatın...
API Referansı

Mikroservis E-Ticaret API

Base URL: http://localhost:5000

🔴 kırmızı etiketli endpointler STRIDE simülasyonları için kasıtlı açık içermektedir.

Auth Service — Kimlik Doğrulama
POST /api/auth/login Güvenli JWT token üret (30dk) ✓ Güvenli
POST /api/auth/login-weak Zayıf token (sınırsız süre) S - Spoofing
User Service — Kullanıcı Yönetimi
GET /api/users Kullanıcıları listele (JWT zorunlu) ✓ Güvenli
GET /api/users/{id} Kullanıcı detayı (JWT zorunlu) ✓ Güvenli
GET /api/users/{id}/vulnerable Yetki kontrolsüz kullanıcı getir E - BOLA/IDOR
Product Service — Ürün Yönetimi
GET /api/products Ürün listesi ✓ Güvenli
GET /api/products/debug DB şifresi + sistem bilgisi sızdırır I - Info Disc.
Order Service — Sipariş Yönetimi
GET /api/orders Sipariş listesi (JWT zorunlu) ✓ Güvenli
POST /api/orders Sipariş oluştur (JWT zorunlu) ✓ Güvenli
GET /api/orders/stress Rate limiting yok — 2sn gecikme D - DoS
PUT /api/orders/{id}/tamper İmzasız fiyat değişikliği T - Tampering
STRIDE Analizi
GET /api/stride/analysis Tüm tehditler + risk skorları (JSON) 📊 Analiz