Güvenlik · · 13 dk okuma

Web Uygulama Güvenliği Nasıl Sağlanır? WAF, DDoS ve Penetrasyon Testi Rehberi

WAF yapılandırması, DDoS mitigasyonu ve düzenli penetrasyon testleri ile OWASP Top 10 zafiyetlerine karşı sıfır ihlal politikası uygulayın. Kurumsal web güvenliği için kapsamlı teknik rehber.

← Tüm Yazılar

Web uygulama güvenliğinin temelleri

Her gün dünya genelinde 30.000'den fazla web sitesi hackleniyor. Kurumsal siteler, e-ticaret platformları ve SaaS uygulamaları; müşteri verisi, ödeme bilgisi ve kurumsal sırlar barındırdığından birincil hedef haline geliyor. Güvenlik önlemleri almak artık bir "tercih" değil, yasal bir zorunluluk.

Web uygulama güvenliği, uygulama katmanında (OSI Layer 7) çalışan tehditlere karşı koruma sağlar. SQL injection, XSS, CSRF gibi saldırılar güvenlik duvarı veya antivirüs yazılımlarıyla önlenemiyor; bunlar için özel uygulama katmanı savunmaları gerekiyor.

30K+ Günlük hacklenen site
%43 KOBİ hedefli saldırılar
287 gün Ortalama ihlal tespit süresi

OWASP Top 10 nedir?

OWASP (Open Web Application Security Project), en kritik web uygulama güvenlik risklerini sıralayan dünyaca kabul görmüş bir referans listesi yayınlıyor. 2021 güncellemesiyle son listede öne çıkan tehditler şunlar:

  • A01 — Broken Access Control: Yetki dışı erişim ve veri ifşası
  • A02 — Cryptographic Failures: Şifreleme zayıflıkları, veri açığa çıkması
  • A03 — Injection: SQL, NoSQL, komut enjeksiyonu
  • A04 — Insecure Design: Tasarım düzeyindeki güvenlik açıkları
  • A05 — Security Misconfiguration: Yanlış yapılandırılmış güvenlik ayarları
  • A07 — Identification Failures: Kimlik doğrulama ve oturum yönetimi hataları

WAF (Web Application Firewall) kurulumu

WAF, HTTP/HTTPS trafiğini analiz ederek zararlı istekleri sunucuya ulaşmadan engelleyen bir güvenlik katmanıdır. SQL injection, XSS ve CSRF gibi OWASP Top 10 tehditlerine karşı ilk savunma hattını oluşturur.

WAF türleri ve seçim kriterleri

Bulut tabanlı WAF

  • Cloudflare, AWS WAF, Fastly
  • Kolay kurulum, düşük bakım
  • Otomatik kural güncellemesi
  • Aylık abonelik maliyeti
  • KOBİ ve startup için ideal

Self-hosted WAF

  • ModSecurity, NAXSI
  • Tam kontrol ve özelleştirme
  • Manuel kural yönetimi gerekir
  • Yüksek ilk kurulum maliyeti
  • Büyük kurumlar için uygun

Temel WAF kuralları

WAF kurulduktan sonra aşağıdaki temel kuralların aktif olduğunu doğrulayın:

  • SQL injection kalıplarını engelle (UNION SELECT, DROP TABLE vb.)
  • XSS vektörlerini filtrele (<script>, onerror= vb.)
  • Path traversal saldırılarını önle (../../../ vb.)
  • Şüpheli User-Agent string'lerini izle
  • Rate limiting ile brute force saldırılarını sınırla

WAF'ı ilk kurduğunuzda "detection mode" (izleme modu) ile başlayın. Gerçek trafiği en az bir hafta izleyin, false positive oranını düşürün, sonra "prevention mode"a geçin.

DDoS saldırısı nasıl önlenir?

DDoS (Distributed Denial of Service) saldırısında yüzlerce veya binlerce farklı kaynaktan gelen sahte trafik, sunucunuzu meşru isteklere yanıt veremez hale getiriyor. Modern DDoS saldırıları saniyeler içinde 1 Tbps'ı aşabiliyor.

DDoS mitigasyon katmanları

1
CDN ve Anycast network

Cloudflare, Akamai veya AWS CloudFront gibi CDN'ler trafiği küresel noktalara dağıtarak volumetrik saldırıları emer. 10+ Tbps mitigasyon kapasitesi standart hale geldi.

2
Rate limiting ve IP reputation

Saniyede belirli sayının üzerinde istek yapan IP'leri otomatik olarak kısıtlayın. Bilinen kötü niyetli IP listelerini WAF kurallarına entegre edin.

3
Captcha ve bot challenge

Şüpheli trafik algılandığında otomatik olarak CAPTCHA veya JavaScript challenge devreye alın.

4
Orijin IP'yi gizleyin

CDN arkasındaki gerçek sunucu IP adresinizi hiçbir yerde ifşa etmeyin. DNS kayıtlarını ve e-posta başlıklarını kontrol edin.

Penetrasyon testi: güvenlik açıklarını bulmak

Penetrasyon testi (pentest), bir saldırganın gözüyle sisteminizi test etme sürecidir. Yama uygulamadan önce güvenlik açıklarını tespit etmenin en etkili yoludur.

Pentest aşamaları

  • Kapsam belirleme: Hangi sistemler, URL'ler ve senaryolar test edilecek?
  • Keşif (Reconnaissance): Açık kaynak istihbaratı ile hedef hakkında bilgi toplama
  • Tarama: Port, servis ve güvenlik açığı taraması (Nmap, OWASP ZAP)
  • Sömürme: Bulunan açıkların kontrollü ortamda istismar edilmesi
  • Raporlama: Bulgular, risk skorları ve düzeltme önerileri

Güvenlik açığı tarama araçları

  • OWASP ZAP: Ücretsiz, otomatik web uygulama güvenlik tarayıcısı
  • Burp Suite: Profesyonel web penetrasyon testi platformu
  • Nikto: Açık kaynak web sunucu güvenlik tarayıcısı
  • Nessus: Kapsamlı zafiyet tarama çözümü

7/24 izleme ve olay müdahalesi

Güvenlik tehditlerinin %99'u saldırı gerçekleşmeden önce tespit edilebilir. Sürekli izleme bu tespiti mümkün kılıyor.

İzlenmesi gereken metrikler

  • Başarısız giriş denemesi sayısı (dakika başına 5+ deneme = brute force şüphesi)
  • Alışılmadık coğrafi konumlardan erişimler
  • Anormal veri çekme hacimleri (data exfiltration sinyali)
  • Hata kodu anomalileri (yüksek 403, 500 oranları)
  • SSL sertifika geçerlilik tarihleri

Olay müdahale planı

Güvenlik ihlali gerçekleştiğinde panikle alınan hatalı kararlar hasarı artırır. Önceden hazırlanmış bir müdahale planı şunları içermeli: saldırı tespiti sonrası ilk 15 dakika adımları, sistemi izole etme prosedürü, müşteri ve yasal bildirim gereklilikleri, yedekten geri yükleme protokolü.

Güvenlik sadece teknik önlemlerden ibaret değil. Ekip farkındalığı, güçlü parola politikaları ve düzenli güvenlik eğitimleri teknik önlemler kadar kritik.