OWASP Top 10 2025: Web Güvenliği Açıklarında Ne Değişti?
OWASP Top 10 listesi, web uygulaması güvenliğinde endüstri standardı kabul ediliyor. 2025 güncellemesi, bulut mimarileri, mikroservisler ve SSRF saldırılarının artışıyla birlikte önceliklerde belirgin değişiklikler getirdi. Bu yazıda yeni listeyi ve Diyarbakır VefaSec ekibinin saha deneyimlerini paylaşıyoruz.
A01 — Broken Access Control: Yine Birinci Sırada
Broken Access Control 2021'den beri listenin başında ve 2025'te de liderliğini koruyor. Yetkilendirme hataları, kurumsal uygulamalarda bulduğumuz bulguların yaklaşık %40'ını oluşturuyor. IDOR, privilege escalation ve missing function level access control en yaygın alt kategoriler.
Önleme: her isteği sunucuda yeniden yetkilendirin, client-side route guard'lara güvenmeyin, RBAC veya ABAC politikalarını merkezi bir servis olarak uygulayın ve 'deny by default' prensibi ile başlayın.
A02 — Cryptographic Failures: TLS ve Şifreleme Hataları
Eskiden 'Sensitive Data Exposure' olarak adlandırılan kategori, artık kök nedene odaklanıyor: zayıf kripto. TLS 1.0/1.1 kullanımı, MD5 ve SHA-1 ile password hashing, zayıf random number generation ve hardcoded encryption key'ler en sık rastlananlar.
Argon2 veya bcrypt ile password hashing, AES-256-GCM ile veri şifreleme ve KMS/HSM ile anahtar yönetimi 2025'in temel gereksinimleri. TLS 1.3, ChaCha20-Poly1305 ve X25519 modern stack.
A03 — Injection: SQL, NoSQL, Command Injection
Injection saldırıları hâlâ pratikte görülüyor. Prepared statement ve ORM kullanımı SQL injection'ı büyük ölçüde çözse de, NoSQL veritabanlarında (MongoDB, Elasticsearch) parametrize edilmemiş sorgular yeni bir saldırı yüzeyi yaratıyor.
LDAP injection, XPath injection, OS command injection ve SSTI (Server-Side Template Injection) da bu kategoride. Her kullanıcı girdisi doğrulanmalı, context-aware escape edilmeli ve prepared statement/parametrized query zorunlu olmalı.
A10 — Server-Side Request Forgery (SSRF): Yeni Öne Çıkan
SSRF, bulut mimarilerinin yaygınlaşmasıyla kritik bir saldırı vektörü haline geldi. Saldırgan, uygulamanın içeriden AWS metadata servisine, iç API'lara veya cloud konsola istek yapmasını sağlayarak kimlik bilgilerini çalabilir.
Önleme: URL whitelist yaklaşımı, IMDSv2 zorunluluğu, private subnet'lerde outbound kontrolü, DNS rebinding koruması ve URL parsing'te edge case testi. AWS'de IAM role minimum privilege ve VPC endpoint kullanımı da kritik.
Kurumsal Savunma Kontrol Listesi
OWASP ASVS L1 kontrollerini minimum hedef alın: kimlik doğrulama, oturum yönetimi, erişim denetimi, veri doğrulama, kripto, hata yönetimi ve loglama. Her release öncesi otomatik ZAP veya Burp scan + manuel code review.
Yüksek değerli uygulamalar için ASVS L2, finans ve sağlık için L3 hedeflenmeli. VefaSec pentest paketi, bu her üç seviyede de uyumluluk denetimi sağlar ve remediation rehberiyle birlikte teslim eder.
Projeniz veya denetim ihtiyacınız için VefaSec'le konuşun.
Diyarbakır merkezli ekibimiz; kurumsal müşterilere uçtan uca yazılım geliştirme, sızma testi ve siber güvenlik danışmanlığı hizmetleri sunar. Keşif görüşmesi ücretsiz, bağlayıcı değil.