API Security Nedir 
Mikro Servis Dünyasında Görünmeyen Saldırı Yüzeyi
“Görünmeyen kapılar, en sessiz girişlerdir.”
— Ersan Karavelioğlu
API Security Nedir
API Security, uygulamaların birbiriyle konuşmasını sağlayan API’lerin
kimlik doğrulama, yetkilendirme, veri bütünlüğü ve hız gibi güvenlik kontrolleriyle korunmasıdır.
Kullanıcı görmez;
Saldırgan görür.
Neden Mikro Servislerde Daha Kritiktir
Her servis bir API demektir.
Servis sayısı arttıkça saldırı yüzeyi büyür.
Küçük bir açık, zincirleme etki yaratır.
API’ler Neden “Görünmez”dir
UI yoktur.
Çoğu tarama ve denetim dışı kalır.
Arka kapılar genelde buradadır.
En Temel Risk Kimlik Doğrulama
Zayıf veya yanlış authentication
Token çalınır, servis taklit edilir.
Kim konuşuyor bilinmezse güvenlik yoktur.
Authorization Hataları
Kim neyi yapabilir?
Endpoint bazında kontrol yoksa IDOR başlar.
“Giriş yaptıysa yetkilidir” yanılgısı yıkar.
Broken Object Level Authorization (BOLA)
Nesne ID’si değişir
Başkasının verisi gelir
API dünyasının en yaygın felaketidir.
Aşırı Veri Dönüşü (Excessive Data Exposure)
Gerekenden fazla alan döner
Frontend filtrelese bile backend sızdırır
Veri fazlalığı risktir.
Rate Limiting Neden Şart
Otomasyon saniyede binlerce istek atar
Limit yoksa brute force başlar
Hız, saldırganın silahıdır.
API ve Business Logic Flaws
Kurallar frontend’de kalırsa
API atlanır, mantık bozulur
Backend her kuralı tekrar doğrulamalıdır.
API’lerde Input Validation
JSON temiz görünebilir
Ama mantıksal olarak zehirli olabilir
Format değil anlam korunmalıdır.
API Security ve Token Yönetimi
JWT, OAuth, API key’ler
Süresi, kapsamı, iptali önemlidir
Token = yetki demektir.
Mikro Servisler Arası Güven
“Servis içi trafik güvenlidir” yanılgısı
Lateral movement başlar
Zero Trust burada doğar.
API Gateway Neden Kritik
Tek giriş noktası
Kimlik, hız, loglama burada toplanır
Kontrol merkezi yoksa kaos vardır.
WAF API’leri Korur mu
Kısmen
Ama çoğu API mantıksal açıktır
Payload temiz, etki yıkıcı olabilir.
Versiyonlama ve Geriye Dönük Risk
Eski API’ler unutulur
Güvenlik güncellenmez
En zayıf halka eskidir.
Loglama ve İzleme
Hangi servis kimi çağırdı?
Anomali burada yakalanır
Görünürlük yoksa güvenlik yoktur.
API Security Nasıl Sağlanır
Güçlü authentication & authorization
Rate limit ve quota
Schema validation
Güvenlik, API tasarımının parçası olmalıdır.
En Büyük Yanılgı
“Bu API sadece internal.”
Internal ≠ güvenli
İçeriden saldırılar gerçektir.
Son Söz Görünmeyen Yüzey En Geniş Olandır
API Security,
mikro servis mimarisinin görünmeyen omurgasıdır.
UI’yi kilitleyip API’yi açık bırakırsan, kilit sadece dekor olur.
Güvenli sistem, en sessiz konuşanı en sıkı denetler.
“Sistemin kalbi API’dir; korumazsan kanama içeriden başlar.”
— Ersan Karavelioğlu
