Kategoriler
Popüler KonularYaşam RehberiAstrolojiKariyer TavsiyeleriKişisel GelişimZenginler ve FakirlerSite TanıtımlarıKaranlık İnternet GerçekleriNe? Nedir? Nasıl?Kadim Gizli BilgilerMeditasyon ve OlumlamalarDualarSpiritüalizmSpiritüel Rüya TabirleriYurt Dışında EğitimYZ ile Para Kazanma RehberiBilgisayar ve Güvenlik

Yanlışlıkla Yasa Dışı İş Yapmak, Deneme İçin Yaptığınız Kod Satırları Başınıza Bela Olabilir!

Bir if döngüsü yazdınız. Bir endpoint denediniz. Bir SQL sorgusu gönderdiniz. Siz sadece “öğreniyordum” dediniz. Ama sistem o satırı öyle okumadı. Çünkü siz niyetinizi biliyordunuz. Sistem ise sadece eyleminizi logladı.

Deneme Amaçlı Kodlar Neden Tehlikeli Hale Gelir?

Geliştiriciyseniz, “test etmek” sizin için doğaldır. Ama test ortamı sizin değilse, yazdığınız her satır, karşı taraf için bir deneme değil saldırıdır.

İşte bazı “masum” kod örnekleri:

# Basit bir GET isteği
requests.get("https://sirket.com/admin-panel")

# SQL Injection testi
payload = "' OR '1'='1"
url = "https://site.com/login?user=" + payload
requests.get(url)

# Port taraması
for port in range(20, 1024):
    sock = socket.socket()
    sock.connect(("hedefsite.com", port))

# Açık dizin araması
requests.get("https://site.com/.git/config")

Bu satırları çalıştırdığınızda, aşağıdaki olaylar aynı anda başlar:

  • Web sunucusu erişimi loglar
  • Firewall davranışı şüpheli olarak işaretler
  • WAF (Web Application Firewall) sizi kara listeye alır
  • Sunucu sahibi olay kaydını güvenlik birimine yollar

Siz “sadece baktım” derken, sistem sizi “denedi ve girmeye çalıştı” olarak işaretler.

Gerçek Hikâye: Kod Sadece 8 Satırdı, Ama Savcı 8 Sayfa Yazdı

Bir yazılım öğrencisi, okulunun sitesinde “admin” klasörü olup olmadığını görmek istedi. Tarayıcıya şu URL’yi yazdı: https://universite.edu.tr/admin 403 döndü. Merak etti, küçük bir Python kodu yazdı. İçinde 10 endpoint vardı. Sadece denedi. Sonra unuttu.

3 hafta sonra mail geldi: “Kurum sistemlerine yönelik yetkisiz erişim denemesi hakkında açıklama talep edilmektedir.” Çünkü loglarda IP, tarih, endpoint listesi vardı. Kod satırları çoktu. Ama savcılık açıklaması daha uzundu.

Yasa Dışı Olabilecek Kod Örnekleri

  • SQL injection payload denemeleri (örneğin login formuna ' OR '1'='1 yazmak)
  • Admin panel veya dizin brute force saldırıları
  • Public API’leri rate-limit’i aşarak test etmek
  • Bot yazıp gerçek sistemlere veri çekmek
  • Fuzzing tool’larını gerçek domainlerde çalıştırmak
  • Phishing sayfası tasarlayıp canlı sunucuda yayına almak (test bile olsa)

Şunu Unutma: Sistemin Gözünde Test Yoktur, Trafik Vardır

Sistemin senin kodu neden yazdığını anlaması mümkün değildir. Sadece davranışı inceler. Şüpheli bir parametre gönderildiyse, sistem alarm üretir. Log dosyası niyeti değil, hareketi kaydeder. Ve hukuk, loga bakar; senin açıklamana değil.

Etik Geliştirici Nasıl Davranır?

  • Kendi sisteminde test yapar
  • Public domainlerde sadece izinli test uygular (bug bounty dahil)
  • Log kaydı oluşturur ve kendisini kanıtlayacak dökümanlar toplar
  • “Fark ettim” diyerek değil, “bildirdim” diyerek sistem sahibine yaklaşır

Kod Masum Olabilir. Ama Ortam Masum Değilse, Sonuç Tehlikeli Olabilir

Geliştirme özgürlüktür. Ama özgürlük, sorumlulukla birlikte yürür. Kod yazarken ne yaptığınızı biliyor olmanız yeterli değil. Hedef sistemin size ne dediği önemlidir.

Bir URL’ye istek göndermek basit bir satırdır. Ama o satır savcının önünde açıklanacak bir davranış haline gelebilir.

Kod Yazarken Hukuku Unutursan, Kod Satırları Mahkeme Delili Olur

Test mi yapmak istiyorsun? Kendi sistemini kur. Kendi IP’n üzerinde, kendi log'unla çalış. Aksi halde “ben sadece bakmıştım” dediğinde, sistem şöyle der: “Görmek suç değil, ama girmeye çalışmak öyledir.”

Ve o tek satır kod, seni yıllar sürecek bir açıklamaya götürebilir.