OWASP Top 10 2025 Eğitimi

A01:2025 - Kırık Erişim Kontrolü
A02:2025 - Güvenlik Yanlış Yapılandırması
A03:2025 - Yazılım Tedarik Zinciri Başarımları
A04:2025 - Kriptografik Başarımlar
A05:2025 - Enjeksiyon
A06:2025 - Güvensiz Tasarım
A07:2025 - Kimlik Doğrulama Başarımları
A08:2025 - Yazılım veya Veri Bütünlük Başarımları
A09:2025 - Güvenlik günlüğü ve uyarı başarımaları
A10:2025 - İstisnai Durumların Yanlış İşlenmesi

A01:2025 Kırık Erişim Kontrolü - Erişim kontrolü, kullanıcıların belirlenen izinlerin dışında hareket etmemelerini sağlar. Başarımlar genellikle yetkisiz bilgi açıklaması, tüm verilerin değiştirilmesi veya yok edilmesi ya da kullanıcı sınırları dışında bir işlevin gerçekleştirilmesine neden olabilir.

A02:2025 Güvenlik Yanlış Yapılandırması - Güvenlik yanlış yapılandırma, bir sistem, uygulama veya bulut hizmetinin güvenlik açısından yanlış kurulumu olup, zafiyetler yaratır.

A03:2025 Yazılım Tedarik Zinciri Başarımları - Yazılım tedarik zinciri başarımları, yazılımın oluşturulması, dağıtılması veya güncellenmesi sürecindeki bozulmalara veya diğer kompromislere atıfta bulunur. Genellikle, sistemdeki üçüncü taraf kod, araçlar veya başka bağımlılıklardaki zafiyetler veya kötü niyetli değişiklikler neden olur.

A04:2025 Kriptografik Başarımlar - Genel olarak, aktarım sırasında tüm verilerin şifrelenmesi gereklidir (OSI katmanı 4). CPU performansı ve özel anahtar/sertifika yönetimi gibi önceki engeller artık şifrelemeyi hızlandırmak için tasarlanmış CPU talimleri (örn: AES desteği) tarafından ve özel anahtar ve sertifika yönetiminin büyük bulut sağlayıcıları tarafından daha sıkı entegre hizmetler sunan Let'sEncrypt.org gibi hizmetler tarafından yönetilmektedir. Aktarım katmanını güvenleştirmenin yanı sıra, durumda şifrelenmesi ve aktarım sırasında (uygulama katmanında, OSI katmanı 7) ek şifrelemenin gerekliliğini belirlemek de önemlidir. Örneğin, parolalar, kredi kartı numaraları, sağlık kayıtları, kişisel bilgiler ve iş sırları, bu veriler gizlilik yasları (örn: AB Genel Veri Koruma Yönetmeliği - GDPR) veya PCI Veri Güvenliği Standartları (PCI DSS) gibi düzenlemeler kapsamında ise özellikle ek koruma gerektirir.

A05:2025 Enjeksiyon - Bir enjeksiyon zafiyeti, saldırganın kötü niyetli kod veya komutları (SQL veya kabuk kodu gibi) bir programın giriş alanlarına eklemesine olanak tanıyarak sistemde bu kodların veya komutların sistemin bir parçasıymış gibi çalıştırılmasına neden olur. Bu, oldukça ciddi sonuçlara yol açabilir.

A06:2025 Güvensiz Tasarım - Güvensiz tasarım, farklı zayıflıkları ifade eden geniş bir kategori olarak kabul edilir ve 'eksik veya etkisiz kontrol tasarımı' olarak ifade edilir. Güvensiz tasarım diğer tüm Top On risk kategorilerinin kaynağı değildir. Not: Güvensiz tasarım ile güvenli uygulama arasında fark vardır. Tasarım ve uygulama hataları farklı kök nedenlere sahip olup, geliştirme sürecinde farklı zamanlarda gerçekleşir ve farklı düzeltmeler gerektirir. Güvenli bir tasarıma rağmen, uygulama hataları nedeniyle zafiyetler ortaya çıkabilir. Güvensiz tasarım, gerekli güvenlik kontrollerinin belirli saldırılar karşıtı oluşturulmadığı için tamamen düzgün bir uygulamayla düzeltilmez. Yazılım veya sistem geliştirilirken iş risk profili oluşturma eksikliği, hangi seviyede güvenlik tasarımı gerektiği belirlenememesine neden olabilir.

A07:2025 Kimlik Doğrulama Başarımları - Saldırganın geçersiz veya yanlış bir kullanıcıyı meşru olarak tanıyarak sistemi kandırabilmesi durumunda bu zafiyet ortaya çıkar.

A08:2025 Yazılım veya Veri Bütünlük Başarımları - Yazılım ve veri bütünlük başarımları, geçersiz veya güvenilir olmayan kod veya verinin güvenilir ve geçerli olarak kabul edilmesine neden olan kod ve altyapıyı ifade eder. Bu, güvenilir olmayan kaynaklardan, depolarından ve içerik teslim ağlarından (CDN'ler) gelen eklentiler, kitaplıklar veya modüller üzerine yaslanan bir uygulama örneği olarak verilebilir. Güvenli olmayan CI/CD ardışık düzeni, yazılım bütünlük denetimleri sağlamadan ve sunmadan, yetkisiz erişime, güvenilir olmayan veya kötü niyetli kodun girişi veya sistem kompromisi gibi durumlar ortaya çıkar. Başka bir örnek, CI/CD'nin güvende olmayan yerlerden kod veya nesneleri çekmesi ve/veya kullanmadan önce onları doğrulamamasıdır (imzayı kontrol etmek ya da benzer bir mekanizma ile).

A09:2025 Güvenlik Günlüğü ve Uyarı Başarımları - Günlüğe kaydetme ve izleme olmadan, saldırılar ve veri sızıntıları tespit edilemez; uyarı olmadan ise güvenlik olayında hızlı ve etkin bir yanıt vermek çok zordur. Yetersiz günlüğe kaydetme, sürekli izleme, algılama ve aktif yanıtları başlatmak herhangi bir zaman gerçekleşebilir.

A10:2025 İstisnai Durumların Yanlış İşlenmesi - Yazılımda istisnai durumların yanlış işlenmesi, programların olağanüstü ve öngörülemez durumlara karşı önlem alamaması, tespit edememesi ve/veya bu durumlara yanıt verememesi ya da hiç yanıt vermemesi olabilir. Bu, çökme, beklenmedik davranış ve bazen de zafiyetlere neden olabilir. Bu durum aşağıdaki 3 hatalı işlemden bir veya daha fazlasını içerebilir: Uygulamanın olağanüstü durumu önleme yeteneği yoktur, durumu oluşurken tespit edemez ve/veya duruma sonra yetersiz veya hiç yanıt vermez.

Pratik yönlerini tartışacağımız ve sunacağımız konular:

Kırık Erişim Kontrolü
- Kırık erişim kontrollerinin pratik örnekleri
- Güvenli erişim kontrolleri ve en iyi uygulamalar

Güvenlik Yanlış Yapılandırması
- Gerçek hayattaki yanlış yapılandırma örnekleri
- Yanlış yapılandırma önleme adımları, yapılandırma yönetimi ve otomasyon araçları

Kriptografik Başarımlar
- Zayıf şifreleme algoritmaları veya hatalı anahtar yönetimi gibi kriptografik başarımaların detaylı analizi
- Güçlü kriptografik mekanizmaların, güvenli protokollerin (SSL/TLS) ve modern kriptografinin web güvenliği üzerindeki örneklerinin önemine odaklanma

Enjeksiyon Saldırıları
- SQL, NoSQL, OS ve LDAP enjeksiyonlarının detaylı analizi
- Hazırlanmış ifadeler, parametreleme sorguları ve girişlerin kaçışını kullanarak azaltma teknikleri

Güvensiz Tasarım
- Zafiyetlere neden olabilecek tasarım hataları, uygun giriş doğrulaması eksikliği gibi konuları inceleyeceğiz.
- Güvenli mimari ve güvenli tasarım ilkeleri için stratejileri çalışacağız.

Kimlik Doğrulama Başarımları
- Yaygın kimlik doğrulama sorunları - Çok faktörlü kimlik doğrulaması ve doğru oturum yönetimi gibi güvenli kimlik doğrulama stratejileri

Yazılım ve Veri Bütünlük Başarımları
- Güvenilir olmayan yazılım güncellemeleri ve veri manipülasyonu gibi sorunlara odaklanacağız. - Güvenli güncelleme mekanizmaları ve veri bütünlüğü denetimleri

Güvenlik Günlüğü ve İzleme Başarımları
- Güvenilir bilgilerin günlüğe kaydedilmesinin ve şüpheli faaliyetler için izlemenin önemi - Erken veri sızıntısını tespit etmek için uygun günlük ve gerçek zamanlı izleme araçları ve uygulamaları