Kısa cevap

eval, innerHTML, komut çalıştırma, SQL birleştirme, zayıf kripto ve gömülü sır sinyallerinin bağlam içinde incelenmesi için pratik rehber.

01

Ön taramanın doğru rolü

Hafif bir tarayıcı içi ön tarama, belirli sözdizimi kalıplarını satır numarasıyla görünür kılar. Pull request öncesinde eval, innerHTML, child_process, dinamik SQL, zayıf hash veya anahtara benzeyen sabitleri hızla işaretlemek geliştiricinin dikkatini doğru bölgeye taşır.

Regex kodun veri akışını, framework sanitizasyonunu, erişim kontrolünü, bağımlılık sürümünü veya çalışma zamanı davranışını anlayamaz. Bulguyu güvenlik açığı; temiz sonucu da onay belgesi gibi sunmamak gerekir. Ön tarama bir yönlendirme katmanıdır.

02

Kaynak, dönüşüm ve sink izleyin

Manuel incelemede kullanıcı girdisi, API yanıtı, dosya veya ortam değişkeni kaynak olarak tanımlanır. Veri doğrulama, normalizasyon ve yetkilendirme adımlarından geçerek DOM, SQL, shell, dosya sistemi veya log gibi bir sink'e ulaşır. Risk, yalnızca tehlikeli fonksiyon adında değil bu yolun bütünündedir.

innerHTML sabit ve güvenilir metinle kullanılabilirken kontrolsüz kullanıcı girdisiyle XSS doğurabilir. SQL birleştirme sabit tablo adı için görülse bile değerler parametreli olmalıdır. Her bulgu için girdinin kontrol edilebilirliğini, kodlama/validasyonu ve hedef bağlamı yazılı olarak doğrulayın.

  • Kaynağı ve güven sınırını belirleyin.
  • Tüm dönüşümleri sırayla izleyin.
  • Sink'in bağlama özgü güvenli API alternatifini bulun.
  • Test ile saldırı ve güvenli senaryoyu tekrarlayın.
03

Sırlar ve kriptografi özel işlem ister

Kodda token veya anahtara benzeyen değer demo olsa bile gerçek sırların commit geçmişinde bulunabileceğini varsayın. Sırı silmek yetmez; sağlayıcıda iptal/rotate edin, geçmiş ve log yayılımını değerlendirin, secret manager ya da güvenli CI değişkeni kullanın.

MD5 veya SHA-1 bütünlük dışı güvenlik bağlamında zayıf olabilir; parola saklama için hızlı hash ailesi zaten uygun değildir. Algoritma kararı veri türü, tehdit modeli ve güncel platform standardıyla verilmelidir. Ön tarayıcı kriptografik uygulamanın doğru yapıldığını doğrulayamaz.

04

Katmanlı yayın kapısı kurun

Geliştirici cihazında hızlı ön tarama geri bildirimi erkene çeker. CI aşamasında dil farkındalığı olan SAST, secret scanning, dependency/SBOM kontrolü ve testler çalışmalıdır. Yüksek riskli auth, ödeme, dosya ve komut yolları manuel güvenlik incelemesine ayrılmalıdır.

Her araç için süre ve boyut sınırı, açıklanabilir kural kimliği ve yanlış pozitif bildirim yolu tanımlayın. Bulguları önem, doğrulanabilirlik ve etkiyle önceliklendirin. Güvenlik kapısı iş akışını durdurabiliyorsa sahiplik ve istisna süreci de denetlenebilir olmalıdır.

Kaynaklar ve doğrulama

Bu rehber hazırlanırken aşağıdaki birincil ve resmî belgeler kontrol edildi. Bağlantıların güncel sürüm ve değişiklik tarihlerini ayrıca inceleyin.

  1. OWASP: Secure Code Review Cheat Sheet
  2. OWASP: Code Review Guide
İLGİLİ ARAÇLAR

Bu rehberi uygulamaya dönüştürün

52Kod Güvenliği Ön TaramasıKaynak kodunda riskli API, tehlikeli sink, zayıf kripto ve gömülü sır kalıplarını yerel olarak bulun.11Regex Test AracıDüzenli ifadeyi eşleşmeler ve gruplarla güvenli biçimde sınayın.32cURL → Kod DönüştürücüBir cURL komutundan JavaScript, Python, PHP ve Node.js kod taslağı üretin.
Editoryal yöntem

İçerik, görünür ByteQuant ürün davranışı ve varsa listelenen birincil kaynaklarla karşılaştırılarak hazırlanır. Genel bilgilendirmedir; hukuki veya güvenlik danışmanlığı değildir.

Bilgiyi uygulamaya dönüştürün

62 araçla cihazınızda çalışmaya başlayın

Araçları keşfet