Güvenlik

Web Güvenliği 2026: OWASP Top 10 ve Gerçek Saldırı Senaryoları

SQL injection, XSS, CSRF artık klasik. 2026'da siber saldırganlar hangi açıkları hedefliyor? Savunma stratejileri.

Web Güvenliği 2026: OWASP Top 10 ve Gerçek Saldırı Senaryoları
25.05.2026 1,440 görüntüleme 3 dk okuma
GüvenlikOWASPSQL InjectionXSSCSRFPenetration TestSiber Güvenlik

Güvenlik: Görmezden Gelinen Öncelik

"Bizi kim hacklesin?" diyorsanız, istatistikler sizi şaşırtacak. 2026'da her 39 saniyede bir siber saldırı gerçekleşiyor.

OWASP Top 10 - 2026 Güncel Liste

1. Broken Access Control (Erişim Kontrolü Açıkları)

Risk: Kullanıcı yetkisiz alanlara erişebiliyor.

Örnek: URL'de user_id=123 değiştirip başkasının profilini görme.

Çözüm: Her istekte yetki kontrolü, session bazlı doğrulama, rol tabanlı erişim.

2. Cryptographic Failures (Şifreleme Hataları)

Risk: Hassas veriler şifrelenmemiş veya zayıf şifreleme.

Örnek: Şifreler MD5 ile hashlenmiş, HTTPS yok.

Çözüm: bcrypt/Argon2 kullanın, TLS 1.3, hassas verileri encrypt edin.

3. Injection (SQL, NoSQL, Command)

Risk: Kullanıcı girdisi doğrudan sorguya gidiyor.

Örnek: SELECT * FROM users WHERE id = $_GET['id']

Çözüm: Prepared statements, parameterized queries, input validation.

4. Insecure Design (Güvensiz Tasarım)

Risk: Güvenlik baştan tasarlanmamış.

Örnek: Şifre sıfırlama linki tahmin edilebilir, rate limiting yok.

Çözüm: Threat modeling, security by design, güvenlik testleri.

5. Security Misconfiguration (Yanlış Yapılandırma)

Risk: Default şifreler, gereksiz servisler açık, hata mesajları detaylı.

Örnek: phpMyAdmin /phpmyadmin URL'sinde, admin/admin ile giriş.

Çözüm: Hardening, gereksiz servisleri kapat, hata mesajlarını gizle.

Gerçek Saldırı Senaryosu: E-Ticaret Sitesi

Hedef: Orta ölçekli e-ticaret sitesi, günlük 5000 ziyaretçi

Saldırı: SQL injection ile admin paneline giriş, müşteri verileri çalındı

Hasar: 12.000 müşteri verisi sızdı, KVKK cezası, marka itibarı kaybı

Maliyet: 450.000 TL ceza + 200.000 TL teknik düzeltme + ölçülemeyen itibar kaybı

Savunma Katmanları: Defense in Depth

Katman 1 - Perimeter: WAF (Web Application Firewall), DDoS koruması, rate limiting

Katman 2 - Network: Firewall, VPN, network segmentation

Katman 3 - Application: Input validation, output encoding, secure coding

Katman 4 - Data: Encryption at rest, encryption in transit, backup

Güvenlik Araçları ve Testler

  • SAST: SonarQube, Checkmarx - Kod analizi
  • DAST: OWASP ZAP, Burp Suite - Dinamik test
  • Dependency Check: Snyk, npm audit - Bağımlılık güvenliği
  • Penetration Test: Yılda en az 1 kez profesyonel pentest

Güvenlik Checklist: Yayına Almadan Önce

  • ✅ HTTPS zorunlu, TLS 1.3
  • ✅ SQL injection koruması (prepared statements)
  • ✅ XSS koruması (output encoding)
  • ✅ CSRF token'ları
  • ✅ Rate limiting (brute force koruması)
  • ✅ Güvenli şifre politikası (min 12 karakter, complexity)
  • ✅ Session yönetimi (timeout, secure flag)
  • ✅ Hata mesajları generic
  • ✅ Dosya upload güvenliği
  • ✅ Security headers (CSP, X-Frame-Options, vb.)

Müşteri Vakası: Fintech Startup

Güvenlik audit yaptık, 23 kritik açık bulduk. 2 haftalık sprint ile tamamı kapatıldı. 3 ay sonra pentest: 0 kritik açık. Yatırımcı güveni arttı, Series A turunda güvenlik sertifikası artı puan oldu.

Sonuç: Güvenlik maliyet değil, yatırım. Saldırı sonrası düzeltme, önleyici tedbirlerden 10 kat daha pahalı.

Tüm Yazılar
K
Kodlink AI Asistan Çevrimiçi
Merhaba! Kodlink AI Asistan'a hoş geldiniz. Size nasıl yardımcı olabilirim?