Siber Güvenlik
12 dakika okuma
2025 OWASP Top 10: Web Uygulamalarındaki En Kritik Güvenlik Açıkları
OWASP Top 10 2025 listesi güncellendi. Injection, Broken Access Control ve yeni eklenen AI güvenlik açıkları neler?
E
Emre Cihan
## OWASP Top 10 2025
OWASP her yıl güncellediği Top 10 listesinde 2025 yılında önemli değişiklikler yaptı. Özellikle **AI sistemlerine yönelik saldırılar** ilk kez listeye girdi.
## 1. Broken Access Control
Hâlâ listenin tepesinde. Kullanıcıların yetkisiz kaynaklara erişebildiği durumlar.
Savunma: Her sorguya kullanıcı ID kontrolü ekle. Örneğin posts tablosunu sorgularken sadece WHERE id = ? değil WHERE id = ? AND user_id = ? kullan.
## 2. Cryptographic Failures
Hassas verilerin şifrelenmemesi veya zayıf algoritmaların kullanılması.
**2025 te öne çıkan sorun:** MD5 ve SHA1 hâlâ aktif kullanımda. Şifre hashleme için bcrypt veya Argon2 kullanın. password_hash() fonksiyonunu PASSWORD_ARGON2ID sabitiyle çağırın.
## 3. Injection (SQL, NoSQL, OS Command)
SQL Injection testi için sqlmap aracı kullanılabilir. Savunma: **Her zaman prepared statements kullan.**
## 4. Yeni: AI/LLM Security
2025 te ilk kez listede: LLM tabanlı uygulamalarda **prompt injection** saldırıları.
Saldırı örneği: Kullanıcı sistemdeki talimatları sıfırlamaya çalışır. Savunma: Input sanitization ve sistem promptu izolasyonu.
## Özet Kontrol Listesi
- Tüm kullanıcı girdileri sanitize edildi mi?
- Yetkisiz erişim her endpoint te kontrol ediliyor mu?
- Şifreler bcrypt veya Argon2 ile mi hashleniyor?
- HTTPS zorunlu mu?
- Bağımlılıklar güncel mi? (composer audit komutuyla kontrol edilebilir)
OWASP her yıl güncellediği Top 10 listesinde 2025 yılında önemli değişiklikler yaptı. Özellikle **AI sistemlerine yönelik saldırılar** ilk kez listeye girdi.
## 1. Broken Access Control
Hâlâ listenin tepesinde. Kullanıcıların yetkisiz kaynaklara erişebildiği durumlar.
Savunma: Her sorguya kullanıcı ID kontrolü ekle. Örneğin posts tablosunu sorgularken sadece WHERE id = ? değil WHERE id = ? AND user_id = ? kullan.
## 2. Cryptographic Failures
Hassas verilerin şifrelenmemesi veya zayıf algoritmaların kullanılması.
**2025 te öne çıkan sorun:** MD5 ve SHA1 hâlâ aktif kullanımda. Şifre hashleme için bcrypt veya Argon2 kullanın. password_hash() fonksiyonunu PASSWORD_ARGON2ID sabitiyle çağırın.
## 3. Injection (SQL, NoSQL, OS Command)
SQL Injection testi için sqlmap aracı kullanılabilir. Savunma: **Her zaman prepared statements kullan.**
## 4. Yeni: AI/LLM Security
2025 te ilk kez listede: LLM tabanlı uygulamalarda **prompt injection** saldırıları.
Saldırı örneği: Kullanıcı sistemdeki talimatları sıfırlamaya çalışır. Savunma: Input sanitization ve sistem promptu izolasyonu.
## Özet Kontrol Listesi
- Tüm kullanıcı girdileri sanitize edildi mi?
- Yetkisiz erişim her endpoint te kontrol ediliyor mu?
- Şifreler bcrypt veya Argon2 ile mi hashleniyor?
- HTTPS zorunlu mu?
- Bağımlılıklar güncel mi? (composer audit komutuyla kontrol edilebilir)
Paylaş:
Twitter / X
E
Emre Cihan
Hardware & Software Engineer