API’ler, Postman ve Swagger 

Modern yazılım geliştirme dünyasında hız, her şeydir. API’ler, bu hızın motoru olarak sistemler arasındaki iletişimi sağlar ve günümüz yazılım ekosisteminde API'ler, sistemlerin birbiriyle konuşmasını sağlayan temel sinir sistemidir.  Ancak bu çeviklik arayışında çoğu zaman gözden kaçan devasa bir risk var. API test süreçlerinin vazgeçilmezi olan Postman ve dokümantasyon devi SwaggerHub, bugün siber saldırganlar için en verimli "OSINT" kaynaklarına dönüşmüş durumda:

• Geliştiriciler İçin:  API isteklerini hızla test etme, ekip içi senkronizasyon ve canlı dokümantasyon oluşturma konusunda eşsiz bir  kolaylık  sağlar.

• Saldırganlar İçin:  Yanlış yapılandırılmış "Public" çalışma alanları ve dikkatsizce paylaşılan koleksiyonlar, kurumsal sırların ("loot") doğrudan servis edildiği birer  veri sızıntısı kaynağıdır.

Modern yazılım ekosisteminde "paylaşma" ve "iş birliği" kültürü, Postman gibi platformların "Public API Network" özelliğiyle zirveye ulaştı. Geliştiriciler, ekipleriyle veya toplulukla dokümantasyon paylaşırken çalışma alanlarını (workspaces) herkese açık hale getirdiklerinde, aslında sistemlerinin kapılarını dünyaya açıyorlar. Bu kolaylık, External Attack Surface Management stratejilerinde ciddi bir boşluk yaratarak, görünmez bir güvenlik kabusuna davetiye çıkarıyor. En büyük sorun, bu platformların kullanıcı arayüzlerinin yarattığı "güvenlik illüzyonu"dur. Kullanıcılar, ekipler arası paylaşımı hızlandırmak için çalışma alanlarını herkese açtıklarında, paylaştıkları verinin sadece "dokümantasyon" olduğunu varsayarlar. Oysa bu durum, saldırganlar için kurumun iç dünyasına açılan devasa bir kapıdır.

Bu platformlar sadece birer geliştirme aracı değil, saldırganlar için optimize edilmiş birer  Açık Kaynak İstihbaratı (OSINT)  arama motoru olmuştur. Saldırganlar, bu platformların arama işlevlerini kullanarak kurumsal ağlara sızmak için gereken hassas bilgileri kolayca tarayabilir. 

Sızıntıların Temel Nedenleri

Postman'ın kullanıcı arayüzündeki (UI) bazı terminolojik tercihler, kullanıcılarda sahte bir güvenlik algısı yaratıyor. Özellikle "Initial Value" ve "Current Value" ayrımı, sızıntıların ana kaynağı durumunda.

Eksik Gizlilik Hassasiyeti

Anonimleştirilmemiş veri içeren Postman çalışma alanlarının "Private" yerine "Public" tutulması. 

"Fork" (Çatallama) İşlemleri

Postman’daki "Fork" özelliği, popüler API koleksiyonlarını kopyalayıp üzerinde çalışmayı kolaylaştırırken, bir sızıntı vektörüne dönüşüyor. Geliştiriciler, popüler koleksiyonları fork'layıp içine "geçici olarak" kendi canlı anahtarlarını yerleştiriyor ve bu durum kalıcı sızıntılara yol açıyor. Araştırmalar, OpenAI fork'larının %16'sının, Pynt fork'larının ise %20'sinin aktif kimlik bilgileri içerdiğini göstermektedir.

UI ve Terminoloji Karmaşası

Postman'daki bazı kavramlar kullanıcıları yanıltmaktadır:

• Initial Value (Başlangıç Değeri) vs. Current Value (Mevcut Değer):  Başlangıç değerleri Postman sunucularıyla senkronize edilir ve çalışma alanına erişimi olan herkes tarafından görülebilir. Mevcut değerler ise yalnızca yerel istemcide tutulur. Kullanıcılar bu ayrımı anlamayarak anahtarları "Initial Value" alanına girmektedir.

• "Secret" Değişken Türü:  Bu tür, veriyi yalnızca yıldız işaretleriyle maskeler; şifrelemez. Erişimi olan herhangi biri bu maskeyi kaldırarak gerçek değeri görebilir.

Yetersiz Tarama ve Bildirim

Postman'ın yerleşik sır tarayıcısı, sızıntı gerçekleştikten sonra bildirim göndermektedir. Bu "bildirim odaklı" yaklaşım, sızıntıyı önlemede yetersiz kalmaktadır.

Sızan Veri Türleri

• JWT’ler: Backend ve istemci arasında kimlik doğrulama için kullanılır.

• Bulut Sağlayıcı Erişim Anahtarları: AWS Access/Secret Key, GCP API Key, Azure Subscription Key.

• SaaS ve Yapay Zeka Erişim Anahtarları: OpenAI API anahtarları, GitHub PAT'leri, Postman API anahtarları.

• Slack Webhook'ları:  Sızan bir webhook, saldırganın şirket içi kanallara kötü amaçlı mesajlar göndermesine veya iç iletişim verilerini dışarı sızdırmasına neden olabilir.

• Temel Kimlik Doğrulama (Basic Auth Bilgileri):  https://kullanici:sifre@api.servis.com formundaki URL'ler doğrudan yetkisiz erişime imkan tanır.

• İç Ağ Haritalama:  Truffle Security araştırmasında, 10.10.0.0/16 gibi dahili CIDR aralıklarına yönelik yaklaşık 200.000 istek bulundu. Bu, saldırganların kurumun iç ağ haritasını çıkarmasına ve ElasticSearch veya IAM sunucuları gibi kritik hedefleri belirlemesine olanak tanır.

SwaggerHub

API dokümantasyon platformu SwaggerHub, saldırganların OSINT radarına giren bir diğer kritik nokta. SwaggerHub üzerinde bir API dokümantasyonu  "Published"  (Yayınlanmış) durumuna getirildiğinde, tüm internetin ve arama motorlarının erişimine açılır. Ancak kritik bir detay mevcuttur:  "Public | Unpublished"  durumundaki API'ler bile, platformun arama fonksiyonları veya spesifik OSINT araçlarıyla keşfedilebilir durumdadır. Bu, geliştiricilerde "yayınlamadım, o halde güvendeyim" şeklinde sahte bir güven duygusu yaratır.

https://app.swaggerhub.com/search 

OSINT Araç Seti ve Korunma Yolları

Postman İçin:

• Porch Pirate:  En kapsamlı framework'tür. "Secret-agnostic" yapısı sayesinde sadece anahtarları değil, offensive değere sahip gizli endpoint'leri ve parametreleri de bulur.

• Postmaniac / Postleaks:  Koleksiyonlardaki sızıntıları hızlıca taramak için kullanılır.

Swagger için:

• swaggerHole:  Kamuya açık API dokümanlarında otomatik sır araması yapan Python tabanlı bir araçtır.

• SwaggerSpy:  Düzenli ifadeler (regex) kullanarak API dokümantasyonundaki kimlik bilgilerini raporlar.

Altın Kurallar: Savunma Stratejisi

API süreçlerinizdeki bu kritik sızıntıları önlemek için şu adımları hemen uygulayın:

• Çalışma Alanlarını İzole Edin:  Postman çalışma alanlarını mutlaka "Private" tutun; "Public" erişimi sadece zorunlu ve anonimleştirilmiş veriler için kullanın.

• Değişkenleri Doğru Konumlandırın:  Hassas verileri asla "Initial Value" alanına girmeyin; verilerin yerel kalması için "Current Value" alanını tercih edin.

• En Az Yetki (Least Privilege):  API anahtarlarını oluştururken onlara asla "super user" yetkisi vermeyin; anahtarları sadece ilgili görevi yapacak minimum yetkiyle sınırlandırın.

• Otomatik Tarama ve Temizlik:  Herkese açık platformlara veri yüklemeden önce canlı kimlik bilgilerini temizleyin ve CI/CD süreçlerinize secret-scanning araçlarını entegre edin.

• Proaktif İzleme:  Kamuya açık dokümantasyonlar ve Postman koleksiyonları, gerçek zamanlı OSINT araçlarıyla sürekli taranmalıdır.

Referanslar: 

• https://github.com/boringthegod/postmaniac

• https://www.postman.com/explore/apis 

• https://anonymousdata.medium.com/postman-is-logging-all-your-secrets-and-environment-variables-9c316e92d424 

• https://github.com/devcoinfet/postman_research 

• https://trufflesecurity.com/blog/postman-carries-lots-of-secrets 

• https://github.com/cosad3s/postleaks 

• https://mandconsulting.ca/plundering-postman-with-porch-pirate/ 

• https://github.com/MandConsultingGroup/porch-pirate?s=09 

• https://mandconsulting.ca/plundering-postman-with-porch-pirate/ 

• https://redhuntlabs.com/blog/attack-surface-management-risks-of-an-exposed-postman-collection/

• https://app.swaggerhub.com/search?query= 

• https://github.com/UndeadSec/SwaggerSpy 

• https://github.com/Liodeus/swaggerHole 

• https://osintteam.blog/service-urls-the-hidden-gateways-in-your-attack-surface-cb22fcc74884 

• https://www.cloudsek.com/threatintelligence/hackers-scour-exposed-postman-instances-for-credentials-and-api-secrets