mythos gerçekmiş meğer, ve durum hiç iyi değil

Posted on 8 Haz 2026

arkadaşlar, sektörde bir süredir konuşulan mythos denen olay var ya, hani herkes “marketing taktiği bu” diyordu. işte meğer gerçekten gerçekmiş ve durum sandığımızdan çok daha ciddi.

ne olmuş peki

mythos bulgularını gören birisi çıkmış anlatmış. “basit bir satır hatalı, hop rce” tarzı klasik açıklardan bahsetmiyoruz burada. olay çok daha derin: her sast tarayıcısının zaten bulduğu binlerce küçük sorundan birkaç düzine tanesini alıp zincirleme bir şekilde birleştiriyorlar. sonuç? çok daha kötü bir şey ortaya çıkıyor.

spoiler: bu gerçek bir yaratıcılık gerektiren iş, yani script kiddie işi değil.

neden önemli bu

şimdi bakın, klasik zafiyet taraması yapıyorsunuz. tarayıcınız binlerce küçük “sorun” buluyor. bunların çoğunu “low priority” diye geçiyorsunuz çünkü tek başlarına bir şey yapmıyorlar. ama mythos’un gösterdiği şey şu: bu küçük sorunları doğru şekilde zincirlersen, kritik seviye bir saldırı vektörü elde edebiliyorsun.

yani şu ana kadar “eh, bunlar önemli değil” dediğiniz şeyler aslında önemliymiş. kombinasyon oyunu bu.

ne yapmalı şimdi

yapmanız gerekenler:

  1. sast sonuçlarınızı yeniden gözden geçirin

    • düşük öncelikli bulguları görmezden gelmeyi bırakın
    • zincirleme sömürü potansiyeli olan kombinasyonlara bakın
    • özellikle birbirine yakın kod bloklarındaki bulguları inceleyin

  2. manuel kod incelemesi yapın

# otomatik tarayıcı sonuçlarını al
cat sast_results.json | jq '.findings[] | select(.severity=="low" or .severity=="medium")'

# yakın lokasyondaki bulguları grupla
# bunlar potansiyel zincirleme adayları

  1. threat modeling’inizi güncelleyin

    • tek başına zararsız görünen açıkların kombinasyonlarını düşünün
    • saldırı zincirleri oluşturun (kağıt üzerinde bile olsa)
    • “bu + şu = ne olur?” sorusunu sorun

  2. güvenlik testlerinizi derinleştirin

    • sadece bilinen cve’leri test etmeyin
    • yaratıcı saldırı senaryoları deneyin
    • pentest ekibinize “zincirleme saldırı” ödevini verin

gerçek mi değil mi tartışması

sektörün yarısı hala “marketing” diyor buna. ama bulgular ortada. bu tarz yaratıcı sömürü teknikleri yeni değil aslında:

  • bkz: use-after-free + heap spray kombinasyonları
  • bkz: time-of-check-time-of-use (toctou) zincirleri
  • bkz: klasik sql injection + xxe kombinasyonları

mythos bunun daha gelişmiş bir versiyonu gibi görünüyor.

edit: bu tarz bulgular genelde hemen cve numarası almıyor çünkü “tek bir açık” değiller, birden fazla küçük sorunun kombinasyonu. o yüzden cve araması yaparsanız bulamazsınız muhtemelen.

pratik öneriler

hemen yapılacaklar:

  1. geliştirme ekibinizle oturun, bu konuyu konuşun
  2. sast/dast araçlarınızın “düşük öncelikli” bulgularını gözden geçirin
  3. kod review sürecinize “zincirleme etki analizi” ekleyin
  4. güvenlik ekibinize yaratıcı düşünme zamanı tanıyın (sadece checklist takibi değil)

orta vadeli:

# kod tabanınızda potansiyel zincirleme noktaları arayın
# örnek: input validation + memory operation yakınlığı
grep -r "strcpy\|memcpy\|sprintf" . | grep -v ".git"
# sonra bunların yakınında input alınan yerlere bakın

dikkat edilecekler:

  • paranoyak olmayın ama uyanık olun
  • her low severity bulguyu critical yapmayın (o zaman hiçbiri önemli olmaz)
  • ama kombinasyonları düşünmeyi alışkanlık haline getirin
  • “defense in depth” prensibini hatırlayın: bir katman yetmez

sonuç olarak

mythos gerçek mi? görünen o ki evet. marketing karışık mı? muhtemelen o da evet. ama asıl mesele şu: güvenlik açıklarına bakış açımızı değiştirmemiz gerekiyor.

tek başına zararsız görünen şeyler, doğru ellerde (yani yanlış ellerde) çok tehlikeli olabiliyor. yaratıcılık sadece bizim tarafımızda değil, saldırganlar da yaratıcı.

agalar, kod tabanınıza biraz daha farklı açıdan bakın. bazen orman görünmez, ağaçlar yüzünden.

kaynaklar

not: bu yazıda spesifik cve numaraları yok çünkü mythos bulguları klasik tek-açık formatında değil, kombinasyon saldırıları. ama kendi sistemlerinizde benzer kombinasyonları ararken bilinen cve’lerin zincirlenmesine de dikkat edin.

Bu içerik yapay zeka tarafından oluşturulmuştur.