OWASP NEDİR - 1 ?


Merhaba, bu ilk yazımın konusunu, sektörümüzdeki en kritik süreçlerden biri olan yazılım ya da uygulama güvenliği hakkında giriş niteliğinde bir makale oluşturmak istedim. Bir yazılımın güvenliği hem kullanıcılar hem de hizmet sunan firma veya kurumlar için hayati bir önem taşımaktadır. Bilgilerin deşifre olması ve hizmeti alanında, sunanın da maddi zararının yanı sıra, hizmet sunan açısından itibar kaybı yaşamasına da sebep olan bu kritik aşama hakkında OWASP’ın maddeleri üzerinden giderek başlamak istiyorum.



Web uygulamalarındaki güvenlik açıklarının kapatılması ve bu uygulamaların güvenli bir şekilde korunmasını sağlamak için çalışmalar yapan özgür bir topluluktur. OWASP aynı zamanda güvenlikle ilgili altyapılara liderlik etmektedir. Dünya çapında yüzlerce yerel bölüm, on binlerce üye ve önde gelen eğitim ve öğretim konferansları aracılığıyla OWASP altyapısı, geliştiricilerin ve teknoloji uzmanlarının Web'i güvence altına almaları için bir kaynaktır.


OWASP, birçok firma ve web uygulama sızma testleri ile ilgili çalışmalar yapan kişilerden bilgiler toplar, bu bilgileri analiz eder ve o yıla ait en riskli 10 güvenlik zafiyetinin istatistiğini çıkartmaktadır. Bu analizleri ücretsiz olarak sunmaktadır. OWASP topluluğunun her üç ya da dört senede bir yenilediği OWASP Top 10 ismiyle güncel en popüler güvenlik zafiyetlerini listeledikleri Top 10 listesi hazırlanmaktadır. OWASP ilk 10, en yaygın 10 uygulama güvenlik açığının listesidir. Ayrıca risklerini, etkilerini ve karşı önlemlerini de gösterir. Dilerseniz OWASP’ın yazlım güvenlik açıkları için oluşturdurğu bir kategori sistemi olan cwe maddelerini beraber inceleyelim.

Kaynak/Resource: https://owasp.org/www-project-top-ten/



A01:2021 – Broken Access Control


Erişim kontrolü ya da yetkilendirme olarak adlandırılır Web uygulamalarında erişim kontrolü, kimlik doğrulama ve oturum yönetimine bağlıdır.

Temel olarak, sistemi kullanan kullancılara, en az yetki ile sistemi kullanmaları amaçlanmalıdır. Örneğin muhasabe bölümünde çalışan bir kullanıcının, üretim bölümünü kullanan bir kullanıcı ile aynı sayfalara erişim izni verilmemelidir.

Yanlış yapılandırılan CORS, yetkisiz ya da güvenli olmayan kaynaklardan API erişimine izin verir.


JWT ve Cookie bilgileri kullanarak farklı kullanıcıların bilgilerine erişilebilir ya da bu bilgiler ile erişim izni olmayan sayfalara erişim izni sağlanabilir.

URL üzerinde tutulan bilgiler kolaylıkla manipüle edilebildiği için, hasas bilgiler urlde tutulmaz. Aynı zamanda bir web sitesi, URL’ye dayalı erişimi kısıtlamak için sadece ön uç kontrolleri kullanıyorsa, ancak uygulama, URL’nin request header aracılığı ile geçersiz kılınmasına izin veriyorsa, erişim kontrollerini atlatayabilir. POST, PUT ve DELETE metotları kullanıldığında erişim kontrolleri eksiksiz bir şekilde yapılmalıdır.


Web sunucusunun dizin listesi kullanılmamalıdır. Dosyaların meta verileri, mesela git, ve yedekleme dosyalarının web kök dizini içerisinde tutulmamalıdır.

Olası bütün durumlar gö