HTTP security headers and OWASP ASVS compliance.

Diyarbakır'daki işletmelerin %85'inden fazlasının en az bir web uygulaması var — kurumsal site, e-ticaret mağazası, müşteri portalı veya iç yönetim paneli. Bu uygulamaların ortalama %62'si temel güvenlik kontrollerini eksik çalıştırıyor. 2026'da web saldırıları daha sofistike, hedefli ve otomatize hale geldi — AI destekli recon ve exploitation araçları, her büyüklükteki işletmeyi hedef yapıyor.

Modern web uygulamaları OWASP Top 10 2025 güncel sürümündeki 10 risk kategorisine maruz: Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable Components, Identification Failures, Software and Data Integrity Failures, Logging and Monitoring Failures, Server-Side Request Forgery. Her kategorinin Diyarbakır'daki tipik bir KOBİ veya kurumsal uygulamada ortalama 2-4 örneği bulunuyor.

VefaSec web güvenliği hizmetimiz bu riskleri sistematik olarak denetler, önceliklendirir ve düzeltme yol haritası sunar. Sadece teknik bulguları listelemek değil, iş riski perspektifiyle anlamlandırmak odağımız — 'bu kritik bulgu düzeltilmezse şu müşteri verisi X yolla sızdırılabilir, Y yasal sorumluluk doğar' seviyesinde somut.

OWASP Application Security Verification Standard (ASVS) kurumsal web güvenlik olgunluğunun uluslararası standardıdır. Üç seviye: Level 1 (temel — her web uygulamasının karşılaması gereken), Level 2 (önemli veri — KOBİ ve e-ticaret), Level 3 (kritik — finans, sağlık, kritik altyapı).

ASVS v4.0.3'te 14 kategori ve 180+ spesifik kontrol var. Örnekler: V2 Authentication Verification (şifre politikası, 2FA, oturum yönetimi), V4 Access Control (authorization, BOLA, privilege escalation), V5 Validation (input sanitization, output encoding), V9 Communication (TLS, certificate pinning), V10 Malicious Code (deserialization, CI/CD güvenliği).

VefaSec projelerinde hedef seviye müşteri iş profiline göre belirlenir. KOBİ'lerde Level 1 + Level 2 seçili kontroller (ortalama 80-100 kontrol), kurumsal müşterilerde tam Level 2, kritik altyapıda Level 3. Her kontrol için Pass/Fail durumu, kanıt, remediation raporu verilir.

HTTP güvenlik başlıkları (security headers) modern web güvenliğinin en düşük maliyetli, en yüksek ROI kontrolü. 15 dakikalık yapılandırma ile XSS, clickjacking, MITM, information leakage saldırılarının önemli bir kısmı durdurulur. Ama Diyarbakır işletmelerinin %78'inin web sitesinde bu başlıklar eksik veya yanlış yapılandırılmış.

Kritik 8 başlık: Strict-Transport-Security (HSTS — HTTP'den HTTPS'e zorla yönlendirme), Content-Security-Policy (CSP — XSS ve data exfiltration önleme), X-Frame-Options veya frame-ancestors (clickjacking önleme), X-Content-Type-Options (MIME sniffing önleme), Referrer-Policy (leak önleme), Permissions-Policy (browser feature kontrol), Cross-Origin-Opener-Policy (Spectre önleme), Cross-Origin-Resource-Policy.

CSP en karmaşık olanı — yanlış yapılandırılırsa uygulama bozulur, doğru yapılandırıldığında XSS'in %95'ini durdurur. VefaSec CSP yapılandırma pratikleri: önce report-only mode (violation'ları loglayıp üretime almadan analiz), sonra enforce mode. Inline script ve eval kullanımı nonce/hash ile kontrollü. Third-party CDN'ler strict allowlist.

TLS 1.0 ve 1.1 Mart 2020'den bu yana major browser'larda deprecated. TLS 1.2 2024'ten bu yana legacy sayılıyor, yeni projelerde TLS 1.3 öncelikli. Diyarbakır'daki ortalama işletme web sitesi SSL Labs'te A yerine C veya B alıyor — zayıf cipher suite, eksik HSTS preload, stapling sorunları.

VefaSec TLS sertleştirme standartları: TLS 1.2 minimum (legacy uyumluluk için), TLS 1.3 tercihli. Cipher suite allowlist: ECDHE-RSA/ECDSA-AES128-GCM-SHA256, ECDHE-RSA/ECDSA-AES256-GCM-SHA384, ECDHE-RSA/ECDSA-CHACHA20-POLY1305. Forward secrecy zorunlu. OCSP stapling aktif. HSTS preload listesine kayıt.

Sertifika yönetimi: Let's Encrypt + certbot otomasyonu (ücretsiz, 90 günlük rotation), veya kurumsal müşteriler için DigiCert / Sectigo. Certificate Transparency log izleme (unexpected sertifika tespiti için), certificate pinning mobil uygulamalarda.

Cookie güvenlik flag'leri basit ama kritik: Secure (sadece HTTPS), HttpOnly (JavaScript erişilemez), SameSite=Strict (CSRF savunma), Path ve Domain minimum scope. Oturum cookie'leri için ek: short expiration (15-30 dk), refresh token rotation, server-side invalidation on logout.

Oturum hijacking senaryoları: XSS ile cookie çalma (HttpOnly engeller), MITM (Secure engeller), CSRF (SameSite engeller). VefaSec denetimlerinde Diyarbakır web uygulamalarının %52'sinde cookie flag'leri eksik. Tek bir XSS bulgusunun cookie erişimi ile kombine olması oturum çalma senaryosu açar.

Modern authentication: PASETO veya signed JWT (jsonwebtoken 9+), token expiry 15 dk, refresh token rotation, token revocation list. OAuth 2.0 / OpenID Connect entegrasyonlarında PKCE flow, state parameter, nonce validation.

Web Application Firewall (WAF) uygulama önünde saldırı pattern'lerini durduran katman. Cloudflare (ücretsiz plan yeterli çoğu KOBİ için), AWS WAF, Akamai, Imperva. Default ruleset ile başlayıp sahada özel kurallar ekleyerek custom tune yapılır.

Rate limiting DDoS ve brute-force saldırılarını durdurur. Endpoint-specific kurallar: login 5/dk, API 100/saat/kullanıcı, pahalı arama 10/dk. Upstash, Redis-based rate limit veya Cloudflare rate limiting. Bot management (Cloudflare Turnstile, hCaptcha) malicious bot trafiğini filter eder.