Broken Access Control Nedir 
Yetki Hatalarının Web Güvenliğindeki Yıkıcı Etkisi
“Sisteme girmek değil, içeride sınırları aşmak en büyük felakettir.”
— Ersan Karavelioğlu
Broken Access Control Nedir
Broken Access Control, kimliği doğrulanmış bir kullanıcının
yetkisi olmayan kaynaklara veya işlemlere erişebilmesi durumudur.
Kimlik vardır, sınır yoktur.
Web güvenliğinde en yıkıcı açıkların başında gelir.
Neden Bu Kadar Tehlikelidir
Saldırgan çoğu zaman
login olmuştur.
Sistem ona güvenir.
Hasar sessiz ve derindir.
Authentication ile Karıştırılan Nokta
Authentication: “Sen kimsin?”
Access Control: “Ne yapabilirsin?”
Kimlik doğru olsa bile yetki yanlışsa felaket başlar.
OWASP’ta Neden 1. Sıradadır
OWASP Top 10 listesinde
A01 olarak yer alır.
Gerçek dünyadaki ihlallerin en büyük kaynağıdır.
Çünkü tespiti zor, etkisi büyüktür.
En Yaygın Broken Access Control Türleri
URL parametreleriyle yetki atlama
IDOR (Insecure Direct Object Reference)
Gizli endpoint’lere erişim
“Deneyen kazanır” açıklarıdır.
IDOR Nedir
Kullanıcının sadece
ID değiştirerek başkasına ait veriye ulaşması.
/invoice?id=123 → /invoice?id=124
Kontrol yoksa sınır yoktur.
Rol Tabanlı Yetkilendirme Hataları
User → Admin fonksiyonlarına erişebilir.
Frontend’de gizlenmiş butonlar güvenlik değildir.
Kontrol backend’de yapılmalıdır.
HTTP Metotlarının Yanlış Kullanımı
GET engellenmiş ama POST açık.
Aynı endpoint farklı metotla çalışır.
Saldırgan yolu bulur.
Client-Side Kontrole Güvenmek
JavaScript ile yapılan kontroller.
Kolayca atlatılır.
Yetki
sunucu tarafında doğrulanır.
Neden Fark Edilmez
Loglar “normal kullanıcı” gösterir.
Alarm çalmaz.
Saldırı davranış olarak masum görünür.
Broken Access Control ile Neler Yapılabilir
Veri sızıntısı
Veri silme/değiştirme
Yetki yükseltme
Sistem bütünlüğü bozulur.
Zero Trust Perspektifinden Bakış
Her istekte yetki yeniden kontrol edilir.
Bağlam değişirse erişim kesilir.
Varsayıma yer yoktur.
Loglama ve İzleme Neden Kritiktir
Kim, neye, ne zaman erişti?
Anormal desenler yakalanır.
Görünürlük savunmadır.
WAF Broken Access Control’ü Engeller mi
Hayır, doğrudan değil.
Mantıksal bir hatadır.
Çözüm uygulama mimarisindedir.
API’lerde Broken Access Control
Token var ama scope kontrolü yok.
Endpoint açık kalır.
API’ler en sık hedeflenen alandır.
Küçük Uygulamalar Daha mı Güvenli
Hayır.
Otomatik taramalar her yeri dener.
Açık varsa saldırı vardır.
Nasıl Önlenir
En az ayrıcalık ilkesi
Sunucu tarafı yetki kontrolü
Tutarlı politika
Her istek sorgulanmalıdır.
En Büyük Yanılgı
“Bunu kimse denemez.”
Otomasyon dener.
Güvenlik niyetle değil
kontrolle sağlanır.
Son Söz Yetki Hatası, Güvenlik Çöküşüdür
Broken Access Control, kapısı açık bir kasadır.
Kilit vardır ama çalışmaz.
Gerçek güvenlik, kimliğe değil
sınıra dayanır.
“Sistemi kimin kullandığı değil, neye izin verdiğin belirler.”
— Ersan Karavelioğlu
