TokenTrace

Pasif İstemci Tarafı Sızıntı Analiz Platformu

Hakkında

TokenTrace, istemci tarafı görünürlüğünü etik sınırlar içinde okunabilir güvenlik istihbaratına dönüştürür.

Modern frontend uygulamaları bazen istemeden fazla şey gösterir. TokenTrace bu görünürlüğü pasif biçimde analiz eder, güvenlik ekiplerine daha net bağlam sunar ve gereksiz gürültüyü azaltmaya çalışır.

Analiz Karakteri Pasif / Defansif
Kapsam HTML + Doğrudan JS
Raporlama Türkçe / Bağlamsal
Ne Yapar?

İstemci tarafında görünen güvenlik sinyallerini toparlar.

HTML ve JS kaynak görünürlüğü

Hedef sayfanın HTML kaynağını ve yalnızca o sayfanın doğrudan referans verdiği JavaScript dosyalarını analiz eder.

Bağlamsal bulgu üretimi

Secret göstergeleri, token kalıpları, istemci tarafı depolama riskleri, auth misuse, cloud config sızıntıları ve hassas endpoint referanslarını sınıflandırır.

Türkçe açıklama ve aksiyon dili

Her bulguyu Türkçe teknik açıklama, yanlış pozitif notu, risk özeti ve önerilen aksiyonla birlikte sunar.

Ne Yapmaz?

Etik sınırların dışına çıkmaz.

  • Sömürü mantığı içermez.
  • Brute force veya kimlik doğrulama atlatma denemez.
  • Kapsam dışı alanlara genişlemez.
  • Gizli yol fuzzing veya aktif payload enjeksiyonu yapmaz.
  • Yalnızca verilen hedef ve doğrudan bağlı JS dosyalarıyla sınırlı kalır.
Tasarım İlkesi

Sinyal / Gürültü Dengesi

Her “token” kelimesini kritik bulgu gibi davranmak yerine, bağlam, anahtar tipi, placeholder değeri ve kullanım şekli dikkate alınır.

Rapor Felsefesi

İnsan okunurluğu

Sonuçlar sadece regex çıktısı olarak değil, geliştirici ve güvenlik ekiplerinin birlikte yorumlayabileceği açıklamalarla verilir.

Operasyon Modeli

Dar ve kontrollü kapsam

Bu araç “daha fazla tarayayım” mantığıyla değil, “verilen yüzeyi dikkatli ve etik biçimde okuyayım” yaklaşımıyla tasarlanmıştır.

Kullanım Alanları

TokenTrace nerede değer üretir?

Frontend güvenlik gözden geçirmeleri

Dağıtıma çıkmadan önce istemci tarafında görünen yapılandırma ve credential sinyallerini hızlıca gözden geçirmek için.

SDLC güvenlik kontrolleri

Build sonrası kalite kapılarında pasif görünürlük analizi eklemek için.

Bug bounty ön doğrulama

Bir frontend yüzeyinde gerçekten anlamlı güvenlik sinyali olup olmadığını aktif testlere geçmeden önce okumak için.

Demo / yayın öncesi hijyen kontrolü

Yanlışlıkla açık kalan test hesapları, staging referansları veya istemciye sızmış yapılandırmaları fark etmek için.

Sınırlamalar

Yorum gerektiren noktalar

False positive mümkündür

Publishable key, örnek config, demo içerik veya minified çıktı içindeki anlamsız kalıplar bulgu üretebilir.

Pasif görünürlük kesin sömürü anlamına gelmez

Bir token benzeri ifade veya endpoint referansı, tek başına zafiyet kanıtı değildir; yalnızca dikkat gerektiren bir görünürlük sinyalidir.

Sunucu tarafı doğrulama şarttır

Nihai önem değerlendirmesi, backend erişim kontrolleri, anahtar kapsamı ve gerçek yapılandırma bağlamı ile birlikte yapılmalıdır.

Etik Bildirim

Yalnızca yetkili olduğunuz sistemlerde kullanın.

TokenTrace savunma, görünürlük ve güvenli geliştirme süreçleri için üretilmiştir. Araç tarafından üretilen bulgular, aktif saldırı rehberi değildir. Bu nedenle kullanım amacı daima izinli güvenlik değerlendirmesi, iç denetim veya geliştirici doğrulama senaryoları ile sınırlı olmalıdır.