OWASP Top 10 Nedir 
Web Uygulama Güvenliğinde En Kritik Riskler
“En büyük güvenlik açığı, bilinmeyen değil; bilindiği hâlde ciddiye alınmayan risktir.”
— Ersan Karavelioğlu
OWASP Nedir
OWASP (Open Web Application Security Project), web uygulama güvenliği alanında
dünya çapında referans kabul edilen açık bir topluluktur.
Ticari değildir, bilgi üretir.
OWASP Top 10 bu bilginin özetidir.
OWASP Top 10 Nedir
Web uygulamalarında
en sık karşılaşılan ve en tehlikeli 10 güvenlik riskinin listesidir.
Sadece teori değil, sahadaki gerçek saldırılara dayanır.
Güvenlikte “nereden başlamalıyım” sorusunun cevabıdır.
Neden Bu Kadar Önemlidir
Dünya genelindeki ihlallerin büyük kısmı bu başlıklardan gelir.
Çoğu basit ama ihmal edilir.
OWASP Top 10, minimum güvenlik standardıdır.
A01: Broken Access Control
Yetkisi olmayan kullanıcının erişebilmesi.
Admin panelleri, gizli API’ler açığa çıkar.
En yaygın ve en yıkıcı risktir.
A02: Cryptographic Failures
Zayıf veya yanlış şifreleme.
Hassas verilerin açık veya yanlış korunması.
“Şifreli sanıyorduk” hatası burada doğar.
A03: Injection
SQL, Command, LDAP injection.
Kullanıcı girdisi doğrudan çalıştırılır.
WAF’lerin en sık yakaladığı saldırı türüdür.
A04: Insecure Design
Güvensiz mimari kararlar.
Kod doğru olsa bile tasarım yanlıştır.
Güvenlik en başta düşünülmezse sonradan eklenemez.
A05: Security Misconfiguration
Varsayılan ayarlar, açık debug modları.
Gereksiz servisler, açık dizinler.
“Unutulmuş ayar” büyük ihlal doğurur.
A06: Vulnerable and Outdated Components
Güncel olmayan kütüphaneler.
Bilinen açıklar kullanılmaya devam eder.
Patch yönetimi yapılmıyorsa risk süreklidir.
A07: Identification and Authentication Failures
Zayıf oturum yönetimi.
Brute force, session hijacking.
Kimlik doğrulama kırıldığında her şey kırılır.
A08: Software and Data Integrity Failures
Güvensiz update mekanizmaları.
CI/CD zinciri saldırıya açık olabilir.
Yazılımın kendisi tehdit hâline gelir.
A09: Security Logging and Monitoring Failures
Log yoksa saldırı görünmez.
Alarm yoksa müdahale gecikir.
Fark edilmeyen saldırı en tehlikelisidir.
A10: Server-Side Request Forgery (SSRF)
Sunucunun başka sistemlere saldırması.
İç ağlar dışarıdan erişilebilir olur.
Modern bulut saldırılarının yıldızıdır.
OWASP Top 10 Ne Değildir
Sadece geliştiricilerin sorunu değildir.
“Bir kere bakıldı bitti” listesi değildir.
Sürekli gözden geçirilmelidir.
WAF ve OWASP Top 10 İlişkisi
WAF bu risklerin çoğunu
engeller veya azaltır.
Ama tek başına yeterli değildir.
Kod güvenliğiyle birlikte çalışmalıdır.
Küçük Projeler İçin de Geçerli mi
Evet.
Otomatik botlar proje boyutuna bakmaz.
Küçük siteler daha kolay hedeftir.
En Büyük Yanılgı
“Bizde önemli veri yok.”
Sunucu ele geçirilirse veri sonradan önem kazanır.
Altyapı da bir hedeftir.
Nereden Başlanmalı
Access Control
Authentication
Configuration
İlk üç risk ihlallerin büyük kısmını oluşturur.
Son Söz Bilinen Risk, Yönetilen Risktir
OWASP Top 10 korkutmak için değil
öncelik vermek içindir.
Bilinen risk yönetilebilir.
Görmezden gelinen risk ise mutlaka geri döner.
“En pahalı güvenlik açığı, bilindiği hâlde kapatılmayandır.”
— Ersan Karavelioğlu
