2025’te Web Güvenliği Manzarası: Ne Değişti?

121 görüntülenme 0 cevap 1 ay önce
Avatar
motun Üye 25 puan

1. 2025’te Web Güvenliği Manzarası: Ne Değişti?

1.1. Kimlik, yeni “güvenlik çevresi” oldu

Bulut, SaaS ve hibrit mimariler yüzünden artık tek bir “iç ağ” yok. IBM, 2025 siber güvenlik öngörülerinde şirketlerin Identity-First (kimlik odaklı) stratejiye daha fazla kaydığını; erişim kontrolü ve kimlik doğrulamanın, güvenliğin merkezi hâline geldiğini vurguluyor. 

  • Saldırganlar doğrudan sunucuya değil, kullanıcı hesaplarına, SSO oturumlarına, OAuth/JWT token’larına saldırıyor.

  • “Parola + SMS” dönemi yerini FIDO2, WebAuthn, donanım anahtarları, biyometrik çok faktörlü kimlik doğrulama kombinasyonlarına bırakıyor.

1.2. Yapay zekâ destekli saldırılar

2025 trend raporları, AI-driven malware ve otomatikleştirilmiş saldırı kampanyalarındaki artışı açıkça gösteriyor. 

  • Botnet’ler, otomatik zafiyet taraması, parola denemeleri ve sosyal mühendislik için yapay zekâ kullanıyor.

  • Deepfake ses ve video ile kimlik avı (phishing) daha inandırıcı hâle geliyor.

  • Büyük dil modelleri, yanlış yapılandırılırsa saldırgana “otomatik exploit yazdırma” aracı gibi hizmet edebiliyor.

1.3. AI tarayıcılar ve yeni bir risk: “agentic browsers”

Gartner, ChatGPT Atlas gibi AI destekli tarayıcıların şirketler için ciddi güvenlik riski oluşturduğunu, bu tarayıcıların kullanıcı deneyimini güvenliğin önüne koyduğunu ve hassas verileri bulut tabanlı AI servislerine taşıyabildiğini vurguluyor. 

  • Kötü niyetli siteler, AI tarayıcıları manipüle ederek şifre, kart bilgisi, iç dokümanlar gibi verileri AI servisine göndertirebiliyor.

  • Öneri: Şirketler bu tarayıcıları ya yasaklamalı ya da sıkı güvenlik politikaları ve veri sınırlamalarıyla kontrollü kullanmalı.

2. Güncel Kritik Zafiyetler: 2023–2025 Örnekleri

2.1. HTTP/2 Rapid Reset ve MadeYouReset: Protokol seviyesinde DDoS

  • CVE-2023-44487 – HTTP/2 Rapid Reset: HTTP/2’de istemcinin çok hızlı şekilde stream açıp kapatmasına izin veren bir zafiyet; büyük çaplı DDoS saldırıları için kullanıldı. 

  • 2025’te duyurulan MadeYouReset (CVE-2025-8671) ise bazı HTTP/2 sunucu implementasyonlarının server-sent reset’leri yanlış takip etmesinden kaynaklanan yeni bir DoS zafiyeti. Cloudflare ve diğer büyük sağlayıcılar, Rapid Reset mitigasyonları sayesinde bu yeni zafiyeti de büyük ölçüde engelleyebildiklerini bildirdi. 

Ders:
Sadece uygulama kodunu değil, protokol ve altyapı bileşenlerini (web sunucusu, reverse proxy, CDN, WAF) de güncel ve sertleştirilmiş (hardened) tutmak zorunlu.

2.2. React Server Components RCE (React2Shell – CVE-2025-55182)

2025’in en kritik web güvenlik olaylarından biri, React Server Components (RSC) içindeki CVE-2025-55182 zafiyeti:

  • Etkilenenler: React 19.0–19.2.0 arasındaki RSC paketleri (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack) ve bunları kullanan Next.js, React Router, Vite RSC, Waku gibi popüler framework’ler. 

  • Şiddet: CVSS 10.0 – kimlik doğrulama gerektirmeden uzaktan kod çalıştırma (pre-auth RCE).

  • Durum: Zafiyet duyurulduktan sadece birkaç saat sonra Çin bağlantılı tehdit grupları (Earth Lamia, Jackpot Panda) tarafından aktif olarak sömürülmeye başlandı. 

  • Amaç: Finans, perakende, lojistik, eğitim, devlet dâhil birçok sektörde kalıcı backdoor yerleştirme, kimlik bilgisi toplama, bulut altyapısında yanal hareket (lateral movement).

Güvenlik ekipleri için çıkarımlar:

  1. Framework güvenliği = uygulama güvenliği
    Artık zafiyetler çoğu zaman sizin yazdığınız koddansa kullandığınız framework ve paketlerde ortaya çıkıyor.

  2. Güncelleme hızı kritik
    Bu tür 0-day / n-day zafiyetler için:

    • Güvenlik duyurularını ve vendor bloglarını takip et,

    • Patching playbook hazırla (test ortamı + hızlı rollout),

    • Otomatik güncelleme stratejisini belirle (tam otomatik, yarı otomatik, manuel).

  3. Savunma katmanlı olmalı
    Tek başına patch yeterli değil:

    • WAF kuralları,

    • Davranış analizi (anormal istek pattern’leri),

    • Zero Trust erişim politikaları.

3. OWASP Top 10 2025: Güncel Risk Haritası

OWASP, web uygulama güvenliğinde dünya çapında en çok referans verilen kuruluş. OWASP Top 10 2021 hâlâ resmi sürüm; OWASP Top 10 2025 ise şu anda “Release Candidate” olarak yayında. 

2025 RC’ye göre öne çıkan noktalar:

  • A02:2025 – Security Misconfiguration: 2021’deki 5. sıradan 2. sıraya yükselmiş durumda. Konfigürasyonların artan karmaşıklığı, yanlış/varsayılan ayarların daha kritik hâle gelmesine neden oluyor. 

  • Eski başlıklar (Injection, Broken Access Control, Identification & Authentication Failures vb.) hâlâ kritik, ancak bulut/konteyner/CI-CD odaklı yanlış konfigürasyonlar ve supply-chain riskleri daha fazla öne çıkıyor.

Pratik öneri:
Güncel bir web projesinde OWASP Top 10 2021 + 2025 RC’yi birlikte referans al:

  • 2021: Temel prensipler (SQL Injection, XSS, Access Control)

  • 2025 RC: Modern riskler (misconfiguration, supply chain, API güvenliği, CI-CD güvenliği)

4. Modern Web Uygulaması İçin Savunma Mimarisi

4.1. Güvenli yazılım yaşam döngüsü (Secure SDLC)

Artık “önce yaz, sonra pentest” devri bitti. OWASP, modern uygulama güvenlik programının; eğitim, otomasyon ve sürekli ölçüm üzerine kurulmasını öneriyor. 

Adımlar:

  1. Planlama aşamasında güvenlik gereksinimleri

    • KVKK / GDPR uyumu,

    • Rol ve yetki modeli (RBAC/ABAC),

    • Audit log gereksinimleri.

  2. Geliştirme aşamasında otomatik kontroller

    • SAST (Static Application Security Testing),

    • Secret scanning (kodda API key, şifre vs. arama),

    • Güvenli kodlama standartları (input validation, output encoding, parametrik sorgular).

  3. CI-CD hattında güvenlik

    • Dependency scanning / SCA (Software Composition Analysis),

    • Container image scanning,

    • Kod merge olmadan önce otomatik güvenlik kontrollerinin koşulması.

  4. Üretim ortamında izleme

    • WAF, RASP (Runtime Application Self-Protection),

    • Merkezi log yönetimi ve SIEM entegrasyonu,

    • Anomali ve davranış analizi.

4.2. Kimlik ve oturum güvenliği

Modern bir web uygulaması için asgari gereklilikler:

  • MFA / 2FA: Özellikle admin ve kritik roller için zorunlu.

  • OAuth 2.1 / OpenID Connect: Standart protokoller kullan, kendi SSO sistemini “evde yapma”.

  • Session hijacking’e karşı önlemler:

    • HttpOnly, Secure, SameSite cookie seçenekleri,

    • CSRF token’ları,

    • IP / user-agent değişiminde oturum re-validation.

4.3. Veri ve iletişim güvenliği

  • Her yerde TLS 1.2+ (tercihen 1.3), HSTS ve modern TLS konfigürasyonları.

  • Veritabanında alan bazlı şifreleme (örn. TCKN, kredi kartı, sağlık verisi).

  • En az ayrıcalık (least privilege) prensibi:

    • Uygulama hesabı yalnızca gerekli SQL komutlarına yetkili olsun,

    • “root” DB kullanıcıları asla uygulama tarafından kullanılmasın.

5. API Güvenliği ve Mikroservisler

Modern web uygulamalarının çoğu artık birer API tüketicisi veya sağlayıcısı:

  • API anahtarı + OAuth 2.0 / mTLS kombinasyonları,

  • Rate limiting ve throttling,

  • Input validation (özellikle JSON/XML parsing),

  • GraphQL kullanıyorsan:

    • Query depth ve complexity limiti,

    • Alan bazlı yetkilendirme.

API güvenliği, OWASP’ın ayrı bir dokümanı olan OWASP API Security Top 10 ile destekleniyor; bunu da mimari tasarımda referans almak gerekiyor. 

6. Yapay Zekâ Çağında Web Güvenliği

6.1. Model ve veri güvenliği

  • Kullanılan LLM’ler (ChatGPT, özel modeller vb.) için:

    • Prompt injection saldırılarına karşı filtreleme,

    • Modelin erişebildiği dahili kaynakları (DB, dahili API) çok sıkı sınırlandırma,

    • Loglanan verilerin maskeleme ve anonimleştirme.

6.2. AI tarayıcı ve agent’lar

  • Şirket içinden AI tarayıcılar kullanılıyorsa:

    • Proxy veya CASB ile trafik denetimi,

    • Politikalar: “şu domain’lerden veri gönderilemez”, “şu dosya türleri yüklenemez”.

  • Gerekirse bu araçları tamamen bloklamak, en azından kritik sistemlere erişen kullanıcılar için.

7. Güvenlik Kültürü: Teknoloji Yetmez

Son raporlar, siber olayların önemli bir kısmında hâlâ insan hatasının tetikleyici olduğunu gösteriyor. 

  • Düzenli phishing simülasyonları,

  • Geliştiriciler için zorunlu güvenli kodlama eğitimleri,

  • Olay müdahale (incident response) tatbikatları,

  • Üst yönetimin siber güvenliği sadece “IT sorunu” değil, iş riski olarak görmesi.

8. Sonuç: 2025’te Güçlü Bir Web Güvenliği Stratejisi İçin Yol Haritası

Özetle güncel bir web güvenliği programı:

  1. Kimlik odaklı (Identity-First) ve Zero Trust yaklaşımı benimsiyor.

  2. Uygulama güvenliğini OWASP Top 10 2021 + 2025 RC üzerinden konumlandırıyor.

  3. Framework ve altyapı zafiyetlerinde (CVE-2025-55182, Rapid Reset, MadeYouReset vb.) hızlı patch sürecine sahip.

  4. Secure SDLC ile güvenliği tasarım aşamasından itibaren sürecin içine gömüyor.

  5. API, mikroservis ve AI entegrasyonlarını ayrı birer risk alanı olarak ele alıyor.

  6. Teknik kontrolleri, güçlü bir güvenlik kültürü ve eğitim programıyla destekliyor.

10.12.2025 08:58

Web Güvenlik Protokolleri ülkemizde nasıldır sence ?

2 oy
Gelişmiş
Orta
Başlangıç