Book Review – Uygulamalarla Siber Güvenliğe Giriş – Alparslan Akyıldız

Posted on

TR

Merhabalar, Yüksek Lisans ve işler sebebi ile nadiren blog yazabilsem de uzun süredir Türkçe bir şey yazmadığımı fark edip bu blog yazısını 3 dilde de yazmak istedim. İyi okumalar diler, sizleri yazı ile baş başa bırakıyorum.

Güvenlik ile ilgili ilgim 10 senenin üzerinde diyebilirim ve benim için en önemli kitaplardan biri olan “Uygulamalarla Siber Güvenliğe Giriş”in yazısını yıllar sonra yazabiliyorum 🙂 Neredeyse tüm Türkçe kitapları okumuşumdur fakat üzülerek söylemeliyim ki bu denli kapsamlı bir kitap ile çok karşılaşmamıştım. Ve yeniden üzülerek söylemem gerekiyor ki çoğu kitap birbirinin ya kopyası ya da “Giriş” düzeyinden çok da ileri gidemiyor. Bu noktada kimileri “Hocammm, çok biliyorsan siz yazınnn!!…” tarzı sitemlerde de bulunabiliyor, haksız da sayılmazlar. Bu süreçte malesef hepimizin eşşekliği mevcut, düzeltmeye çalışacağız. Alparslan hocamız tam da bu noktada yumruğu masaya vuruyor ve “Heyt, ulen!” edası ile kitabı bir de ücretsiz bizleye sunuyor, Linki de buraya bırakıyorum:

https://github.com/alparslanakyildiz/ChapterZero/blob/main/UygulamalarlaSiberGüvenliğeGiriş.pdf

Genel İnceleme

Burada daha çok kitabın işleyiş, anlatım, akıcılık ve benzeri konularına biraz bakacağız.

Kitap isminden anlaşılacağı üzere “Giriş” düzeyinde bir kitap gibi duruyor ve anlatım konusunda da açık ve net denebilir. Teknik konulara ileriki bölümlerde değineceğiz tabii. Kitabı okurken öncesinde ufak bir araştırma yapıp içeriye dalmanızı tavsiye edebilirim. Her ne kadar kitap içerisinde özet niteliğinde bilgiler olsa dahi araştırma kaslarınızı güçlü tutmak sizi bu meslekte öne çıkaracak. Öncesinde ufak bir araştırma ardından kitap ve uygulama olarak devam ettiğinizde hem bu hem ileriki okumalarınızda size büyük katkı sağlayacaktır.

Kitap farklı sertifikasyon ve konuların birleşimi gibi denebilir, içerisinde OSCP için bilgiler de bulabilirsiniz GPEN, GXPN gibi üst seviye sertifikaların giriş niteliiğinde konularına da rastlayabilirsiniz. Klasik Pentest için biçilmiş kaftan diyebilrim, burada yapacağım bir eleştiri kitabın biraz eski konularda kalması olacak, bu eleştirinin detaylarına da ineceğiz.

Kitabın sevdiğim diğer yönü ise okunaklı olması, beni az çok tanıyanlar 10 numara (şaka değil) gözlüklerime aşinadır ve kitap konusunda okunaklılık en çok karşılaştığım sorunlardan denebilir. Bu kitaptaki yazı ve resim boyutu (kimisine büyük gelse de) cep kitabı olmadığından gayet güzel diyebilirim (tamam biraz kör olabiliriz ama bizi de düşünün :D).

Teknik Bakış

Kitap PTES, OWASP gibi farklı metodolojilerden de destek alıyor ve bir önceki bölümde dediğim gibi farklı programlardan da beslendiğini görebiliyoruz. Bir çok konunun “Orta-İleri” (Orta-Çok pişmiş gibi :D) diyebileceğim seviyelerine kadar teknik olarak inilmiş ve “Giriş” kısmı daha çok sizleri korkutmamak için kalıyor gibi 🙂 Konular ne kadar klasik gibi dursa da işin tekniğini anlamak ve devam etmek açısından oldukça önemli seçilmiş ve bir çok eğitimde de bahsettiğimiz, bahsetmemiş gereken teknikler diyebilirim. Wireless, VOIP gibi farklı noktaların da kapsamlı bir şekilde ele alınması bakış açısı açısından çok önemli.

“Sosyal Mühendislik”, “Wireless”, “VOIP” gibi konular bir çok kitaptan çok daha iyi ele alınmış. Psikolojik tekniklerden, SS7, MTP (Media Transportation Protocols) konularına, çoğu kitapta görmekte zorlanacağınız içerikler mevcut ve bahsettiğim araştırma yetenekleri de burada devreye girecek.

Burada yapacağım bir eleştiri yeni teknolojiler ile ilgili olacak. Kitapta klasik pentest ile ilgili bir çok şey bulsak da günümüz “Yapay Zeka” çağına giderken biraz bu konulardan bahsetmek de güzel olabilirdi.

Bunun yanında “Antivirüs Atlatma Teknikleri” biraz daha geniş ele alınabilir ve “Ransomware” tarzı farklı kavramlar da kitap içerisinde yer alabilir. Terimlerin çoğu İngilizce ve Türkçe olarak kitap içerisinde mevcut fakat kitabın kimi kısımlarının fazla Türkçe geldiğini belirtmek istiyorum. Globalleşen dünyada ne kadar dilimiz önemli olsa da terimlerin bir kaç farklı dilde karşılıklarını bilmek de aynı şekilde elzem.

Bunların yanında “Purple Teaming”, “Red Teaming” gibi kavramlara ve yaklaşımlara da farklı kitaplarda detaylı değinilse bile burada da ufak bir bölüm olarak eklense bana kalırsa güzel olabilir. Örneğin saldırılar ve TTP’leri ile birlikte bir senaryo ve raporlar kısmına da hem red teaming hem de pentest rapor örneği gibi.

Kitabın teknik içeriği gerçekten çok uzun fakat ufak bir özet niteliğinde bir bakış atmak istiyorum yine de.

İçerikler ve Küçük Notlar

1. Laboratuvar Kurulumu ve Temeller

Konular: VM kurulumları, Kali, Metasploitable, Windows 7 Amaç: Okuyucunun pratik uygulamaları kendi bilgisayarında gerçekleştirmesini sağlamak.

2. Linux Temelleri

Konular: Dosya yapısı, izinler, servisler, boot süreci, temel komutlar Amaç: Özellikle Linux üzerinde yapılacak pentest’ler için gerekli olan temel bilgi setini kazandırmak.

3. Ağ Temelleri ve Bilgi Toplama

Konular: OSI katmanları, traceroute, Nmap, DNS Zone Transfer, Shodan, Maltego Amaç: Hedef sistem hakkında mümkün olduğunca bilgi toplayıp saldırıya hazırlık yapmak.

4. Exploit Geliştirme (Buffer Overflow ve Ötesi)

Konular: Stack/SEH tabanlı exploit geliştirme, shellcode üretme, ROP, ASLR/DEP atlatma Amaç: Saldırı yüzeylerini derinlemesine anlayarak zafiyetleri istismar edebilmek. Not: Oldukça teknik bir bölüm; bilgisayar mimarisi, C dili ve assembly bilgisi faydalı olacaktır.

5. Metasploit, Payload ve Exploitation Framework’leri

Konular: Payload türleri, encoder kullanımı, Meterpreter, Client-side saldırılar Amaç: Otomatize saldırı senaryoları ile manuel yöntemleri harmanlayarak öğrenim sağlamak.

6. Antivirüs Atlama Teknikleri

Konular: Encoder’lar, polimorfik virüsler, DLL/PE Injection, Fake Signature Amaç: Tespit edilmeden hedef sistemde kalıcılık sağlama. Not: Gerçek operasyonlarda en sık ihtiyaç duyulan becerilerden biri. Daha güncel AV, EDR Atlatma teknikleri, VM Detection gibi konulardan kısaca bahsedilebilir.

7. Network & Wireless Pentest

Konular: MITM, ARP spoofing, DNS poisoning, MAC flooding, Wireless WPA/WEP saldırıları Amaç: Yerel ağ ve kablosuz ağlarda güvenlik açıklarını bulmak ve sömürmek.

8. Parola Saldırıları ve Hash Kırma

Konular: Hydra, Medusa, Mimikatz, Pass-the-Hash, Hashdump Amaç: Yetkili erişim elde etmek veya lateral hareket için kimlik bilgilerini toplamak.

9. Web Uygulama Güvenliği

Konular: SQLi, XSS, File Upload, LFI, RFI, WebShell, Shellshock, WordPress Amaç: Modern web uygulamalarındaki zafiyetleri tanıyıp test edebilmek.

10. VOIP Güvenlik Testleri

Konular: SIP, RTP, SS7, Call Spoofing, Media Injection Amaç: VoIP sistemlerinin ağ katmanında incelenmesi ve sömürülmesi. Not: Derin bir anlatım mevcut, çok fazla rastlanmayan bir bölüm.

11. Sosyal Mühendislik

Konular: Psikolojik teknikler, phishing, spoofing, USB ile sızma Amaç: Teknik bilgiye ek olarak insan faktörünü de değerlendirme. Not: Psikolojik teknikler, senaryolar bu konuda destekleyici.

12. Pivoting ve Tünelleme Teknikleri

Konular: SSH, DNS, ICMP Tunneling, VPN ile lateral movement Amaç: İlk erişim sonrası içeride yayılmak ve farklı ağlara geçiş sağlamak.

13. CTF Çözümleri & Pentest Raporlama

Konular: Gerçek CTF senaryoları, adım adım çözüm; raporlama formatları Amaç: Teori/pratiği birleştirip sektörel kullanımda yer bulmak. Not: Birçok kişinin eksik kaldığı “raporlama” kısmı da işlenmiş, fakat örnek bir uygulama raporu veyahut farklı durumlara göre rapor hazırlama teknikleri ile çeşitlendirilebilir.

Yapılabilecek Geliştirmeler

  • Kitapta Yapay Zeka, EDR bypass, cloud pentest gibi yeni nesil tehditler yer almıyor.
  • Bazı bölümler çok Türkçeleştirilmiş; kavramların İngilizce karşılıklarını görmek faydalı olurdu.
  • Raporlama kısmı daha görsel ve örnek odaklı olabilirdi.

Sonuç

Kitap yeni başlanlardan ileri düzeye kadar çoğu insanın kendine bir şeyler katabileceği ve zevkle okuyabileceği bir biçimde hazırlanmış. Yıllar önce “Exploit Geliştirme” eğitimleri çekerken de yabancı kaynaklar ile birlikte Alparslar hocanın kitaplarından da faydalanmıştım. Kendilerine paylaşımcı kişiliği ve hoş sohbetleri için ayrıca kişisel olarak teşekkür ediyorum.

Türkçe olarak bulabileceğiniz sayılı kaynaklardan biri olsa da bu yazıyı yazarkenki amacım tanıtımdan çok, ülkemizdeki Türkçe kaynakların da global teknik kitap düzeylerine çıkmasını bir nebze olsun destekleyebilmek ve katkıda bulunmak. Umarım yakında gelecek olan “AI Red Teaming” ile de buna katkıda bulunabilirim.

Okuduğunuz ve zaman ayırdığınız için teşekkürler,

Berk KIRAS, Senior Cyberecurity Consultant.

EN

Hello everyone,

Due to my master’s studies and work, I rarely find time to write blog posts. I hope you enjoy it and find something useful.

I’ve been interested in cybersecurity for over 10 years, and I can finally write about one of the most important books for me: “Uygulamalarla Siber Güvenliğe Giriş” (Introduction to Cybersecurity with Applications). I’ve probably read almost every Turkish book on this topic, and I have to say—unfortunately—very few are as comprehensive as this one. Many are just repackaged copies of one another or they never move beyond the “introductory” level.

Sometimes people say, “If you know better, why don’t you write one yourself?!”—and honestly, they have a point. We’ve all been part of the problem in one way or another, but it’s time to fix it. At this point, Mr. Alparslan (the author) hits the table and says, “Enough!” and even better, he provides this book for free. Here’s the link:

https://github.com/alparslanakyildiz/ChapterZero/blob/main/UygulamalarlaSiberGüvenliğeGiriş.pdf

General Review

This section focuses on the structure, clarity, and overall delivery of the book.

Although the title implies a beginner-level approach, the book is technically rich and well-structured. My suggestion: do a bit of background reading before diving in. Even though the book provides some summaries, strengthening your research habits will make a big difference in this field.

You’ll find content relevant to certifications like OSCP, GPEN, and GXPN. While it’s perfect for classical penetration testing, one minor criticism would be the slightly outdated nature of some examples—which I’ll dive into later.

The book is also very readable, which I truly appreciate. If you know me, you know I wear -10 prescription glasses, and readability in cybersecurity books is always a struggle. But here, the font size and image clarity are well-designed—big thumbs up from me.

Technical Insight

The book is supported by well-known methodologies like PTES and OWASP. It touches on various frameworks and goes beyond just the basics. While some topics may look classical, understanding the technical depth is key to long-term learning.

Topics like Wireless Security, VOIP, and Social Engineering are covered in far more depth than you’d expect in most books. From SS7 to psychological tricks, there’s a lot of valuable content that will require your curiosity and research skills.

One of the things missing is coverage of modern threats such as AI security, EDR evasion, and cloud pentesting. Including even a small section on these would have made the book even stronger.

Sections like AV Evasion, Ransomware, and Purple/Red Teaming approaches could also be expanded. And while the Turkish-first approach is welcome, having more bilingual (TR/EN) terminology helps readers adapt to the global field.

Contents and Quick Notes

  1. Lab Setup: Practical self-hosted environment
  2. Linux Basics: Permissions, commands, structure
  3. Networking: OSI, recon tools, DNS/WHOIS
  4. Exploit Development: Stack/SEH/ROP – very hands-on
  5. Metasploit: Payloads, automation, Meterpreter
  6. AV Evasion: Polymorphic/malware techniques
  7. Network/Wireless: ARP, DNS, MAC, WPA2
  8. Passwords and Hashes: Hydra, Mimikatz, Pass-the-Hash
  9. Web Security: XSS, SQLi, LFI/RFI, Shellshock
  10. VOIP Security: SS7, SIP, Media hijacking
  11. Social Engineering: Psychology, USB, phishing
  12. Pivoting & Tunneling: SSH, ICMP, DNS tunnels
  13. CTFs & Reporting: Real labs, report formats

Suggestions for Improvement

  • Add AI/ML/Cloud pentest content
  • Enhance reporting with examples/templates
  • Use more English terminology to align with global standards

Final Thoughts

This book is useful for everyone—from total beginners to experienced professionals. Years ago, while developing exploit training, I also benefited from Mr. Akyıldız’s books. So, a heartfelt thank you to him for his openness and support.

Although there are few high-quality Turkish resources, this post isn’t just a review—it’s also a call to elevate our technical publishing standards in Turkey. And maybe, with upcoming work on AI Red Teaming, I can contribute to that cause too.

Thank you for reading and spending your time here.

Berk KIRAS, Senior Cybersecurity Consultant

DE

Hallo zusammen,

Durch mein Masterstudium und meine beruflichen Verpflichtungen habe ich nur selten Zeit, Blogbeiträge zu schreiben. Viel Spaß beim Lesen.

Meine Leidenschaft für IT-Sicherheit besteht nun schon seit über 10 Jahren. Und endlich kann ich über eines der wichtigsten Bücher schreiben, das mich auf diesem Weg begleitet hat: „Uygulamalarla Siber Güvenliğe Giriş“ (Einführung in die Cybersicherheit mit praktischen Beispielen). Ich habe so gut wie alle türkischsprachigen Bücher zu diesem Thema gelesen – leider muss ich sagen, dass nur sehr wenige so umfangreich und praxisnah sind wie dieses hier. Viele Werke wiederholen sich oder gehen über ein einfaches Einsteiger-Niveau nicht hinaus.

Manche sagen: „Wenn du es besser kannst, schreib doch selbst eins!“ – und ehrlich gesagt, haben sie damit nicht ganz Unrecht. Wir alle tragen ein Stück Verantwortung, aber es ist Zeit, das zu ändern. Genau hier setzt Herr Alparslan an – mit Nachdruck – und stellt sein Buch auch noch kostenlos zur Verfügung. Hier ist der Link:

https://github.com/alparslanakyildiz/ChapterZero/blob/main/UygulamalarlaSiberGüvenliğeGiriş.pdf

Allgemeiner Überblick

In diesem Abschnitt möchte ich die Struktur, Sprache und Lesefluss des Buches etwas näher beleuchten.

Trotz des Titels ist das Buch nicht nur für Anfänger geeignet. Es ist klar und strukturiert geschrieben, mit zahlreichen praktischen Beispielen. Mein Tipp: Vor dem Lesen ein wenig Recherche betreiben – das stärkt eure Fähigkeit zur Problemlösung und hilft, die Themen besser zu verinnerlichen.

Es sind Inhalte enthalten, die für Zertifizierungen wie OSCP, GPEN oder GXPN nützlich sein können. Für klassische Penetrationstests ist dieses Buch hervorragend geeignet – allerdings sind einige Abschnitte etwas veraltet, worauf ich später noch eingehen werde.

Was ich besonders schätze, ist die gute Lesbarkeit des Buchs – auch für Brillenträger mit -10 Dioptrien wie mich. Schriftgröße und Abbildungen sind angenehm groß – und das Buch ist kein Taschenbuch im herkömmlichen Sinne.

Technischer Blick

Das Buch orientiert sich an etablierten Standards wie PTES und OWASP und kombiniert viele unterschiedliche Tools und Methoden. Die Themen reichen von grundlegend bis fortgeschritten – manche Kapitel wirken auf den ersten Blick klassisch, sind aber technisch sehr wertvoll.

Abschnitte wie Wireless Security, VOIP und Social Engineering sind deutlich detaillierter als in vielen anderen Quellen. Themen wie SS7 oder psychologische Manipulationen sind selten so tief behandelt.

Was fehlt? Moderne Bedrohungen wie künstliche Intelligenz, EDR-Umgehung und Cloud-Pentesting. Auch Themen wie Ransomware, Purple/Red Teaming könnten in zukünftigen Versionen ergänzt werden. Viele Begriffe sind sehr türkisch gehalten – ein stärkerer Fokus auf englische Fachtermini würde den globalen Anschluss erleichtern.

Inhalt und Anwendungsnutzen (Kurzfassung)

  1. Lab-Setup: Lokale virtuelle Maschinen für praktische Tests
  2. Linux-Basics: Struktur, Berechtigungen, Kommandos
  3. Netzwerk & Recon: OSI, Nmap, DNS, Shodan
  4. Exploit-Entwicklung: Buffer Overflow, ROP, Shellcode
  5. Metasploit & Frameworks: Payloads, Client-Side Attacks
  6. AV-Umgehung: Polymorphe Malware, DLL Injection
  7. Wireless Pentest: WPA2, ARP, DNS-Spoofing
  8. Passwortangriffe: Mimikatz, Pass-the-Hash
  9. Web-Sicherheit: SQLi, XSS, File Upload
  10. VoIP-Tests: SIP, RTP, SS7, Paketanalyse
  11. Social Engineering: Phishing, USB, Psychotricks
  12. Pivoting & Tunneling: SSH, ICMP, DNS
  13. CTFs & Reporting: Realistische Szenarien & Berichtserstellung

Verbesserungsvorschläge

  • Integration moderner Themen: AI, Cloud, EDR
  • Erweiterung der Reporting-Methoden mit visuellen Beispielen
  • Nutzung englischer Begriffe zur besseren internationalen Verständlichkeit

Fazit

Dieses Buch bietet sowohl Einsteigern als auch Fortgeschrittenen einen echten Mehrwert. Als ich vor Jahren selbst Exploit-Trainings entwickelt habe, habe ich neben internationalen Quellen auch von Alparslans Büchern profitiert. Dafür danke ich ihm an dieser Stelle ganz persönlich – für seine Offenheit und seine Großzügigkeit.

Auch wenn türkischsprachige Fachbücher rar sind, geht es mir mit diesem Beitrag nicht nur um eine Rezension. Es ist ein Aufruf, unsere Publikationskultur weiterzuentwickeln – und vielleicht kann ich mit meiner kommenden Arbeit zu AI Red Teaming dazu beitragen.

Vielen Dank für eure Zeit und fürs Lesen.

Berk KIRAS, Senior Cybersecurity Consultant