Web Uygulama Güvenliği: OWASP Top 10 Açıkları ve Korunma Yöntemleri
OWASP Top 10 web güvenlik açıkları ve korunma. SQL Injection, XSS, CSRF, Broken Authentication ve diğer kritik açıklara karşı savunma stratejileri ve kod örnekleri.
Web Uygulama Güvenliği: OWASP Top 10
OWASP Top 10, her web geliştiricisinin bilmesi gereken başlıca güvenlik açıklarını listeler.
OWASP Top 10 (2021)
- Broken Access Control
- Cryptographic Failures
- Injection (SQL, XSS...)
- Insecure Design
- Security Misconfiguration
- Vulnerable Components
- Authentication Failures
- Software Integrity Failures
- Security Logging Failures
- Server-Side Request Forgery (SSRF)
1. SQL Injection
Güvensiz:
$query = "SELECT * FROM users WHERE username = '$username'";
// Girdi: ' OR '1'='1 → tüm kayıtları döner!
Güvenli — Prepared Statements:
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$username]);
$user = $stmt->fetch();
2. XSS (Cross-Site Scripting)
Güvensiz:
<div>Hoş geldiniz, <?php echo $_GET['name']; ?>!</div>
<!-- Girdi: <script>alert(document.cookie)</script> -->
Güvenli — Output Encoding:
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
// JS'de innerHTML yerine textContent kullan
element.textContent = userInput; // Güvenli
element.innerHTML = userInput; // Tehlikeli!
CSP Header:
Header always set Content-Security-Policy "default-src 'self';"
3. CSRF (Cross-Site Request Forgery)
Güvenli — CSRF Token:
// Token oluştur ve session'a kaydet
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
echo '<input type="hidden" name="csrf_token" value="'.$_SESSION['csrf_token'].'">';
// Doğrula
if (!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
die('CSRF saldırısı!');
}
4. Broken Access Control
// Her endpoint'te yetki kontrolü
function getUserProfile($userId) {
if ($_SESSION['user_id'] !== $userId && !isAdmin()) {
http_response_code(403);
die('Yetkisiz erişim');
}
return fetchUserProfile($userId);
}
5. Cryptographic Failures
// Kötü - MD5
$hash = md5($password);
// İyi - bcrypt
$hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]);
if (password_verify($input, $stored)) { /* giriş başarılı */ }
6. Security Misconfiguration
# Dizin tarama kapat
Options -Indexes
# Sunucu bilgisini gizle
ServerTokens Prod
ServerSignature Off
# Hata sayfaları
ErrorDocument 404 /errors/404.html
server_tokens off;
7. Vulnerable Components
npm audit && npm audit fix
composer audit
pip install safety && safety check
8. SSRF (Server-Side Request Forgery)
// URL doğrulama
function isSafeUrl($url) {
$parsed = parse_url($url);
if (!in_array($parsed['scheme'], ['http', 'https'])) return false;
$ip = gethostbyname($parsed['host']);
return filter_var($ip, FILTER_VALIDATE_IP,
FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE);
}
Güvenlik Kontrol Listesi
- Prepared statement kullanılıyor
- Output encoding uygulandı
- CSRF token'lar mevcut
- Her endpoint'te yetki kontrolü var
- Şifreler bcrypt ile hash'leniyor
- Bağımlılıklar güncel
- HTTPS zorunlu kılınmış
- Hata mesajları hassas bilgi içermiyor
- CSP başlığı ayarlandı
Büyükweb Güvenlik Altyapısı
Büyükweb hosting çözümleri ModSecurity WAF (OWASP kuralları), Imunify360 malware koruması ve DDoS önleme ile güvenliği katmanlı olarak sağlar. Ancak uygulama güvenliği geliştiricinin sorumluluğundadır — bu rehberdeki pratikleri mutlaka uygulayın.
OWASP Aciklarina Karsi Pratik Savunma Stratejileri
OWASP Top 10 aciklarindan korunmak icin katmanli bir guvenlik yaklasimi benimsenmeli. Input validation her zaman sunucu tarafinda yapilmali ve kullanici girdileri asla guvenilir kabul edilmemelidir. Prepared statement kullanimi SQL Injection saldirilarina karsi en etkili savunmadir. Content Security Policy (CSP) header'lari XSS saldirilarina karsi ek bir koruma katmani saglar. Oturum yonetiminde secure ve httponly flag'leri mutlaka aktif edilmelidir. Rate limiting ile brute force saldirilari engellenebilir. Web Application Firewall (WAF) kullanimi bilinen saldiri kaliplarini otomatik olarak filtreler. Buyukweb.com hosting altyapisi, ModSecurity WAF ve otomatik guvenlik guncellemeleri ile musterilerinin web uygulamalarini koruma altina almaktadir.
Web Guvenligi Kontrol Listesi
SSL/TLS Yapilandirmasi
TLS 1.2 ve 1.3 destekleyin, eski protokolleri devre disi birakin. HSTS etkinlestirin. SSL Labs testinde A+ hedefleyin.
Guvenlik Basliklari
X-Content-Type-Options, X-Frame-Options, Content-Security-Policy ve Permissions-Policy yapilandirin. XSS ve clickjacking koruması saglayin.
WAF Korumasi
ModSecurity veya Imunify360 ile SQL injection, XSS saldirilarina karsi koruma. OWASP kurallarini aktif edin. Rate limiting ile brute-force onleyin.
Malware Tarama
Imunify360 veya ClamAV ile duzenli tarama. Dosya degisikliklerini izleyin. Suphelileri karantinaya alin.
Parola Politikasi
Minimum 12 karakter, karma karakterler, 2FA etkinlestirme. Parola yoneticisi kullanin.
Yedekleme ve Felaket Kurtarma
Duzenli yedek alin ve test edin. Offline kopya tutun. Felaket kurtarma planini dokumante edin.
Sik Sorulan Sorular
Ucretsiz SSL ile ucretli farki nedir?
Let's Encrypt teknik olarak ayni sifreleme sunar. Ucretli sertifikalar garanti ve OV/EV dogrulama sunar.
Mixed content nasil cozulur?
Tum URL'leri https ile guncelleyin. WordPress'te Better Search Replace ile toplu guncelleme yapin.
Sertifika suresi doldu ne olur?
Ziyaretciler uyari gorur, SEO duser. certbot renew ile otomatik yenileme kullanin.
Sonuc
Guvenlik surekli bir surectir. Katmanli yaklasim ile sitenizi koruyun. Buyukweb paketlerinde Imunify360 ve ucretsiz SSL dahildir.
SSL Sertifika Turleri
| Tur | Dogrulama | Kullanim | Fiyat |
|---|---|---|---|
| DV (Domain) | Domain sahipligi | Kisisel site, blog | Ucretsiz-dusuk |
| OV (Organization) | Sirket dogrulama | Kurumsal site | Orta |
| EV (Extended) | Detayli dogrulama | Banka, e-ticaret | Yuksek |
| Wildcard | Tum subdomainler | Coklu subdomain | Orta-yuksek |
Let's Encrypt Otomatik Yenileme
Certbot ile sertifikalari otomatik yenileyin. Cron veya systemd timer ile 60 gunde bir yenileme zamanlayIn.
Guvenlik Denetim Kontrol Listesi
- SSL/TLS versiyonlari guncel mi?
- Guvenlik basliklari dogru yapilandirildi mi?
- WAF kurallari aktif mi?
- fail2ban calisiyor mu?
- Gereksiz portlar kapali mi?
- Root girisi devre disi mi?
- 2FA aktif mi?
- Yedekler duzenli aliniyor mu?
- Dosya izinleri dogru mu?
- Kullanilmayan servisler kapatildi mi?
Bu listeyi ayda bir kontrol ederek sunucunuzun guvenligini ust seviyede tutun.
Profesyonel Hosting icin Onemli Kriterler
Veri Merkezi Kalitesi
Veri merkezinin tier seviyesi, sunucu barindirma kalitesini dogrudan etkiler. Tier 3 veri merkezleri yedekli guc, soğutma ve ag altyapisi ile %99.982 uptime garantisi sunar. Buyukweb'in Bursa Pendc Tier 3 veri merkezi bu standartlari karsilamaktadir.
Teknik Destek Kalitesi
7/24 ulasılabilir, Turkce ve teknik bilgi sahibi destek ekibi hosting hizmetinin vazgecilmez parcasidir. E-posta, canli destek ve telefon kanallarindan hizli yanit almak ozellikle is surekliligi acisından kritiktir.
Olceklenebilirlik
Isletmeniz buyudukce hosting ihtiyaclariniz da degisir. Paylasimli hostingten VDS'e, VDS'den dedicated sunucuya sorunsuz gecis yapabilmek uzun vadeli planlamaniz icin onemlidir. Buyukweb tum bu gecis sureclerini ucretsiz olarak yonetir.
Yedekleme ve Felaket Kurtarma
Gunluk otomatik yedekleme, tek tikla geri yukleme ve uzak yedekleme secenekleri veri guvenliginiz icin sart. JetBackup ile profesyonel yedekleme cozumu tum Buyukweb hosting paketlerinde standarttir.
Guvenlik Katmanlari
SSL sertifikasi, WAF korumasi, malware tarama, DDoS korumasi ve guvenlik duvari - tum bu katmanlar birlikte calisiarak web sitenizi korur. Buyukweb bu guvenliklerin hepsini standart olarak sunar.
Uygulama ve Proje Ornekleri
Hosting ve sunucu hizmetleri farkli sektorlerde farkli ihtiyaclara karsilik gelir:
Kurumsal Web Sitesi
Sirket tanitim sitesi, blog, kariyer sayfasi ve iletisim formu icin paylasimli hosting yeterlidir. SSL, e-posta ve yedekleme dahil. cPanel ile kolay yonetim.
E-Ticaret Magaza
WooCommerce veya PrestaShop ile online magaza kurmak icin VDS oneriyoruz. Urun gorselleri, siparis yonetimi ve odeme entegrasyonu icin daha fazla kaynak gerekir.
SaaS Uygulamasi
Kendi yaziliminizi barindirmak icin dedicated sunucu veya VDS idealdir. Tam root erisim, ozel yapilandirma ve yuksek performans gerektirir.
Oyun Sunucusu
Multiplayer oyunlar icin dusuk gecikme suresi ve yuksek CPU performansi sart. GPU VDS ile grafik islem gerektiren oyun sunuculari calistirabilirsiniz.
Gelistirme Ortami
Test, staging ve CI/CD icin uygun fiyatli VDS paketleri kullanin. Docker ile gelistirme ortamlarinizi standartlastirin.
Her senaryo icin en uygun cozumu belirlemek icin Buyukweb teknik ekibine danisin: 0850 302 60 70.
Ileri Seviye Ipuclari
Temel bilgileri pekistirdikten sonra bu ileri seviye onerilerle projenizi bir ust seviyeye tasiyin:
Otomasyon ile Zaman Kazanin
Tekrarli gorevleri otomatiklestirmek, zaman kazandirmanin yani sira insan hatasini da azaltir. Yedekleme, guncelleme, log analizi ve performans raporlama gibi islemleri cron veya systemd timer ile zamanlama en temel otomasyon adimidir.
Dokumantasyon Olusturun
Sunucu yapilandirmalarinizi, sifre politikalarinizi ve prosedurlerinizi dokumante edin. Acil durumlarda hizli mudahale icin runbook hazirlayin. Ekip degisikliklerinde bilgi transferi icin teknik dokumantasyon hayati onem tasir.
Test Ortami Kullanin
Canli sunucuda deneme yapmak yerine staging/test ortami kurun. Guncellemeler, yapilandirma degisiklikleri ve yeni ozellikler once test ortaminda dogrulanmalidir.
Izleme ve Alarm
Sorunlari musterilerinizden once tespit edin. Uptime monitoring, sunucu kaynak izleme ve uygulama performans izleme (APM) ile proaktif yaklasim benimseyin.
Bu ileri seviye pratikler, hosting ve sunucu yonetiminde profesyonel seviyeye ulasmanizi saglayacaktir.
Etiketler:
