OWASP Top 10 2025: Web Uygulamalarındaki En Yaygın Güvenlik Açıkları

OWASP (Open Web Application Security Project) Top 10, web uygulamalarındaki en kritik güvenlik risklerini sıralayan ve dünya genelinde referans alınan bir standarttır. Bu liste, geliştiricilerin ve güvenlik ekiplerinin öncelikli olarak ele alması gereken açıkları tanımlar. Bu rehberde her bir riski, gerçek dünya örnekleriyle ve somut önleme yöntemleriyle ele alıyoruz.

A01: Broken Access Control

Erişim kontrolü açıkları OWASP listesinin birinci sırasındadır. Kullanıcıların yetkisiz kaynaklara erişmesi, başka kullanıcıların verilerini görmesi veya admin işlevlerini çalıştırması bu kategoriye girer. IDOR (Insecure Direct Object Reference) en yaygın örnektir.

access-control-fix.js

// YANLIS: Kullanici ID'si URL'den alinir, dogrulama yok
app.get('/api/users/:id/orders', (req, res) => {
  return db.getOrders(req.params.id); // IDOR acigi!
});

// DOGRU: Oturumdaki kullanici ile eslesme kontrolu
app.get('/api/users/:id/orders', auth, (req, res) => {
  if (req.user.id !== req.params.id && !req.user.isAdmin) {
    return res.status(403).json({ error: 'Forbidden' });
  }
  return db.getOrders(req.params.id);
});

A02: Cryptographic Failures ve A03: Injection

Kriptografik hatalar; zayıf hash algoritmaları (MD5, SHA1), düz metin parola saklama ve yetersiz TLS yapılandırmasını kapsar. Injection açıkları ise SQL, NoSQL, OS command ve LDAP injection'ı içerir. Parametreli sorgular ve input doğrulama temel savunma yöntemleridir.

Risk	Yanlış Uygulama	Doğru Uygulama
Parola Saklama	MD5/SHA1 hash	bcrypt/Argon2 (cost factor 12+)
SQL Sorgusu	String concatenation	Parametreli sorgu / ORM
TLS	TLS 1.0/1.1 aktif	Yalnızca TLS 1.2+ ve HSTS
API Anahtarları	Kod içinde hardcoded	Environment variable / Vault

A04-A07: Tasarım, Yapılandırma ve Kimlik Riskleri

A04 (Insecure Design) güvenliğin tasarım aşamasında ihmal edilmesini, A05 (Security Misconfiguration) varsayılan yapılandırmaların değiştirilmemesini, A06 (Vulnerable Components) güncel olmayan bağımlılıkları, A07 (Authentication Failures) ise zayıf kimlik doğrulama mekanizmalarını kapsar.

terminal

# A05: Guvenlik yapilandirma kontrolu
# Varsayilan hesaplari kontrol et
grep -r "admin:admin" /etc/ 2>/dev/null

# A06: Guncel olmayan bagimliliklari tara
npm audit
pip audit
composer audit

# Guvenlik basliklarini kontrol et
curl -I https://example.com | grep -i "x-frame\|x-content\|strict-transport"

⚠️ Dikkat: Bağımlılık taramasını CI/CD pipeline'ınıza entegre edin. npm audit, Snyk veya Dependabot ile her build'de otomatik tarama yapın. Bilinen güvenlik açığı olan paketleri üretim ortamına deploy etmeyin.

A08-A10: Bütünlük, Loglama ve SSRF

A08 (Software and Data Integrity Failures) güvenilmeyen kaynaklardan gelen güncellemeleri, A09 (Security Logging Failures) yetersiz log kaydını, A10 (SSRF - Server-Side Request Forgery) ise sunucunun iç ağa istek yapmasını kapsar. SSRF özellikle bulut ortamlarında metadata endpoint'lerine erişim riski taşır.

ssrf-prevention.js

// SSRF onleme: URL whitelist ve ic ag kontrolu
const allowedHosts = ['api.example.com', 'cdn.example.com'];

function isAllowedUrl(url) {
  const parsed = new URL(url);
  // Ic ag adreslerini engelle
  if (parsed.hostname.match(/^(10\.|172\.(1[6-9]|2|3[01])\.|192\.168\.|127\.)/)) {
    return false;
  }
  // Metadata endpoint'lerini engelle
  if (parsed.hostname === '169.254.169.254') {
    return false;
  }
  return allowedHosts.includes(parsed.hostname);
}

Web uygulama güvenliğinizi güçlendirmek için WAF/ModSecurity rehberimizi, sunucu güvenliği için Hardening Checklist yazımızı inceleyin. API anahtarlarınızı korumak için Secrets Yönetimi rehberimize göz atın. Hosted Cloud bulut sunucuları ile güvenli altyapınızı oluşturun.

Sıkça Sorulan Sorular

OWASP Top 10 ne sıklıkla güncellenir?

OWASP Top 10 genellikle 3-4 yılda bir güncellenir. Son büyük güncelleme 2021'de yapılmıştır. Liste, gerçek dünya veri ihlallerinden toplanan verilere dayanır ve yeni saldırı vektörlerini yansıtır.

OWASP Top 10'u uygulamak PCI DSS uyumluluğu sağlar mı?

OWASP Top 10, PCI DSS Requirement 6.5 ile örtüşür ancak tek başına yeterli değildir. PCI DSS daha geniş kapsamlı gereksinimler içerir (ağ segmentasyonu, şifreleme, erişim kontrolü). OWASP Top 10 iyi bir başlangıç noktasıdır.

Hangi güvenlik tarama araçlarını kullanmalıyım?

DAST (Dynamic Application Security Testing) için OWASP ZAP veya Burp Suite, SAST (Static Analysis) için SonarQube veya Semgrep, bağımlılık taraması için Snyk veya npm audit kullanabilirsiniz. İdeal yaklaşım her üçünü CI/CD'ye entegre etmektir.

XSS hala yaygın bir tehdit mi?

Evet, XSS (Cross-Site Scripting) hala en yaygın web güvenlik açıklarından biridir. Modern framework'ler (React, Vue, Angular) varsayılan olarak output encoding yapar ancak dangerouslySetInnerHTML veya v-html gibi bypass mekanizmaları risk oluşturur.

API güvenliği için OWASP Top 10 yeterli mi?

API'ler için OWASP ayrı bir liste yayınlamıştır: OWASP API Security Top 10. Bu liste broken object level authorization, broken authentication ve excessive data exposure gibi API'ye özgü riskleri kapsar.

Sonuç

OWASP Top 10, web uygulama güvenliğinin temel referansıdır. Broken Access Control, Injection ve SSRF gibi riskleri önlemek için güvenli kodlama pratiklerini benimseyin, bağımlılıklarınızı güncel tutun ve güvenlik taramalarını CI/CD pipeline'ınıza entegre edin.

Güvenli Web Altyapısı

Hosted Cloud bulut sunucuları ile WAF, DDoS koruması ve güvenlik güncellemeleri dahil altyapınızı güvende tutun.

Güvenli Sunucu Planlarını İncele →