Oturum Yönetimi Nedir?
Oturum yönetimi, kullanıcının sisteme giriş yaptıktan sonra kimliğinin her istekte yeniden doğrulanması yerine, benzersiz bir Session ID veya Token (JWT) üzerinden tanınmasını sağlayan kritik bir mekanizmadır. Saldırganlar için bu yapı, parola bilmeye gerek kalmadan sadece bu kimliği ele geçirerek (Session Hijacking) veya kullanıcıyı belirli bir kimliğe zorlayarak (Session Fixation) hesabı ele geçirmenin en kestirme yoludur. Güvenli bir oturum yönetimi için token’ların tahmin edilemez karmaşıklıkta olması, HttpOnly ve Secure bayraklarıyla korunması ve mutlaka makul bir zaman aşımı (Timeout) süresiyle sınırlandırılması hayati önem taşır.
XSS (Cross Site Scripting) Açığı Nasıl Çalışır?
XSS (Cross-Site Scripting), bir saldırganın güvenilir bir web sitesine kötü niyetli JavaScript kodları enjekte ederek bu kodları son kullanıcının tarayıcısında çalıştırmasıdır. SQL Injection veri tabanını hedeflerken, XSS doğrudan kullanıcı oturumunu (çerezler, form verileri) hedef alır. Zafiyet; zararlı kodun sunucuda saklandığı Stored, anlık olarak yansıtıldığı Reflected ve istemci tarafında tetiklendiği DOM-based olmak üzere üç ana türe ayrılır. Savunma stratejisi; verinin ekrana basılmadan önce HTML Encoding işleminden geçirilmesi, HttpOnly çerez kullanımı ve İçerik Güvenliği Politikası (CSP) başlıklarının titizlikle yapılandırılması üzerine inşa edilir.
OWASP Top 10 2026
OWASP Top 10 2026, web uygulamalarını tehdit eden en yaygın ve yıkıcı on güvenlik riskini sıralayan küresel bir standarttır. Liste; kullanıcı yetkilerinin suistimal edildiği Erişim Kontrolü Hataları, veri tabanı manipülasyonuna yol açan Enjeksiyon, hassas verilerin ifşasına sebep olan Kriptografik Hatalar ve sunucu içi servisleri hedef alan SSRF gibi kritik zafiyetleri kapsar. 2026 dünyasında bulut yerel mimariler ve yapay zeka entegrasyonlarıyla karmaşıklaşan bu tehditlere karşı savunma; “Güvenli Yazılım Geliştirme Yaşam Döngüsü” (S-SDLC) ve düzenli sızma testleri ile inşa edilen proaktif bir siber dayanıklılık stratejisi gerektirir.
E-Ticaret Siteleri İçin Güvenlik Testi Rehberi
E-ticaret platformları, finansal işlem hacmi ve barındırdıkları kişisel veriler nedeniyle siber korsanlar için birincil hedeftir. Kapsamlı bir E-Ticaret Güvenlik Testi, platformu sadece dışarıdan taramakla kalmaz; Ödeme Ağ Geçitleri, Sipariş ve İade Mantığı, Lojistik Entegrasyonları ve Mobil Uygulamalar gibi tüm kritik bileşenleri denetler. Bu süreçte PCI DSS standartlarına uygun tokenizasyon kontrolleri ve KVKK uyumlu veri gizliliği testleri en yüksek önceliğe sahiptir.
E-ticaret sitelerinde en sık rastlanan ve en tehlikeli zafiyetlerden olan IDOR (Insecure Direct Object Reference) ile bir müşterinin başka bir müşterinin sipariş detaylarını görmesi veya sepet fiyatını manipüle etmesi gibi senaryolar, manuel uzmanlık gerektiren testlerle saptanır. Ayrıca, üçüncü taraf (Third-party) eklentiler ve kargo/banka API’leri üzerinden gelebilecek tedarik zinciri saldırılarına karşı bu entegrasyon noktalarının “Zero Trust” (Sıfır Güven) prensibiyle test edilmesi hayati önem taşır.
Yazı Tipi (Font) Tabanlı Saldırılar: Kötü Amaçlı Font Dosyalarıyla Kod Çalıştırma
Siber güvenlikte “pasif içerik” olarak kabul edilen yazı tipi dosyaları, aslında karmaşık render talimatları barındıran ve işletim sisteminin derinliklerinde işlenen veri paketleridir. Yazı Tipi (Font) Tabanlı Saldırılar, bu dosyaların işlenmesi sırasında meydana gelen Bellek Bozulması (Memory Corruption) veya Bellek Taşması (Buffer Overflow) hatalarını kullanarak sistemde rastgele kod çalıştırılmasını (RCE) sağlar. Font motorları genellikle yüksek yetkilerle çalıştığı için, bu zafiyetler saldırgana doğrudan sistem yöneticisi yetkisi verebilir.
Saldırganlar, kötü amaçlı fontları CSS üzerinden uzaktan yükleyerek (Remote Font Loading) tarayıcıları hedef alabilir veya bir PDF belgesine gömerek sosyal mühendislik yoluyla kullanıcıyı tuzağa düşürebilirler. Geleneksel güvenlik yazılımları bu dosyaları “statik asset” olarak gördüğü için tarama dışı bırakabilir; bu da saldırganın sistemde uzun süre fark edilmeden kalmasına olanak tanır.
Bu sinsi tehdide karşı en etkili korunma yöntemi, işletim sistemi ve tarayıcı güncellemelerini aksatmamaktır; zira font motorlarındaki açıklar genellikle kritik güvenlik yamalarıyla kapatılır. Ayrıca, Content Security Policy (CSP) kullanımıyla sadece güvenilir CDN kaynaklarından font yüklenmesine izin verilmeli ve sunucu tarafında font dosyaları Sanitization (arındırma) işleminden geçirilmelidir. Siber savunmada “güvenli dosya” diye bir şey yoktur; her girdi bir potansiyel kod parçası olarak ele alınmalıdır.
Vitrindeki Görünmez Zırh: WAF Mimarisi ve OSI Layer 7 Savunması
Siber güvenlik mimarisinde web uygulamalarını hedef alan karmaşık saldırılar, geleneksel ağ güvenlik duvarlarını kolaylıkla aşabilir. WAF (Web Uygulama Güvenlik Duvarı), OSI modelinin 7. katmanında (Uygulama Katmanı) çalışarak HTTP/HTTPS trafiğini mikroskobik düzeyde denetleyen bir “görünmez zırh” işlevi görür. WAF’ın temel görevi, OWASP Top 10 listesinde yer alan SQL Enjeksiyonu (SQLi) ve XSS gibi tehlikeli zafiyetlerin sömürülmesini, saldırı trafiği henüz sunucuya ulaşmadan engellemektir.
WAF, sadece bilinen saldırı imzalarıyla değil; modern versiyonlarında Yapay Zeka ve Davranışsal Analiz kullanarak “Sıfırıncı Gün” (Zero-Day) saldırılarını da tespit edebilir. Bu sistemler, normal kullanıcı davranışlarını öğrenerek botnet ve veri kazıma (scraping) gibi insanüstü hızdaki aktiviteleri anında anomali olarak işaretler. Ancak WAF yönetimi, “Yanlış Pozitif” (False Positive) riskini minimize etmek için sürekli ince ayar (Tuning) gerektiren hassas bir operasyonel süreçtir.
[Image illustrating the difference between a traditional Firewall (L3/L4) and a WAF (L7) in inspecting data packets]
Hukuki düzlemde PCI-DSS gibi küresel ödeme standartları ve KVKK rehberleri, internete açık portalların önünde bir WAF konumlandırılmasını “makul teknik tedbirlerin” bir parçası olarak zorunlu kılar. WAF, arka plandaki yazılım kodlarında bug olsa dahi, bu açıkların sömürülmesini engelleyen bir Sanal Yama (Virtual Patching) görevi görür. Dijital dünyada hayatta kalmak, trafiğin miktarından ziyade niyetini analiz edebilen bir kalkanın varlığına bağlıdır.
Uygulama Katmanı DDoS (Layer 7): HTTP Flood Saldırılarının Normal Trafikten Ayırt Edilmesindeki Teknik Güçlükler
Siber saldırıların en sinsi türlerinden biri olan Uygulama Katmanı (Layer 7) DDoS, doğrudan ağ altyapısını değil, web sunucusunun ve veritabanının kaynaklarını hedef alır. Bu saldırıların temelini oluşturan HTTP Flood, binlerce botun aynı anda meşru kullanıcıymış gibi davranarak geçerli HTTP GET veya POST istekleri göndermesiyle gerçekleşir. Volumetrik saldırılardan farklı olarak, Layer 7 saldırılarında trafik hacmi düşük kalabilir ancak her bir istek sunucu tarafında ağır bir hesaplama yükü yaratarak sistemi kilitler.
Bu saldırıların tespitindeki en büyük zorluk, saldırı trafiğinin yapısal olarak normal kullanıcı trafiğinden farksız olmasıdır. Slowloris gibi “yavaş ve derinden” (low-and-slow) ilerleyen yöntemler, sunucu bağlantılarını saatlerce açık tutarak servis kapasitesini tüketirken standart güvenlik duvarlarını kolayca atlatabilir. Ayrıca, modern botnetlerin fare hareketlerini simüle etmesi ve gerçek tarayıcı parmak izleri kullanması, “insan mı bot mu?” ayrımını modern siber savunmanın en büyük teknik problemi haline getirmiştir.
Savunma tarafında statik kurallar yerine; trafiğin niyetini analiz eden WAF (Web Uygulama Güvenlik Duvarı) çözümleri, davranışsal anomali tespiti yapan makine öğrenmesi modelleri ve şüpheli durumlarda devreye giren Challenge-Response (CAPTCHA, JS doğrulaması) mekanizmaları kullanılmalıdır. Şifreli (HTTPS) trafik içinde gizlenen bu tehditleri yönetmek, sadece paket miktarını değil, kullanıcı davranışını ve uygulama bağlamını (context) 7/24 izleyen adaptif bir mimari gerektirir.
XML External Entity (XXE) Injection
Kurumsal veri değişim standartlarından biri olan XML, yapısı gereği “entity” (varlık) tanımlamalarına izin verir. Ancak uygulama tarafındaki XML ayrıştırıcısı (parser) hatalı yapılandırıldığında, saldırganın gönderdiği zararlı XML içeriği üzerinden sunucudaki hassas dosyaların okunmasına veya iç ağdaki sistemlere istek atılmasına neden olan XXE (XML External Entity) Injection zafiyeti ortaya çıkar.
XXE saldırıları, sadece doğrudan dönen yanıtlar üzerinden değil (In-band), bazen sunucunun dışarıya yaptığı gizli istekler (Out-of-band/OOB) üzerinden de gerçekleştirilebilir. Bu zafiyet; özellikle SOAP servisleri, SAML tabanlı kimlik doğrulama sistemleri ve XML tabanlı dosya yükleme (PDF, DOCX vb.) özelliklerinde kritik bir risk oluşturur.
XXE riskini bertaraf etmenin en kesin yolu, kullanılan XML kütüphanelerinde Dış Varlık (External Entity) ve DTD (Document Type Definition) çözümlemesini tamamen devre dışı bırakmaktır. “Güvenli varsayılanlar” (secure defaults) ilkesini benimsemek, ağ çıkışlarını kısıtlamak ve girdi doğrulama süreçlerini sıkılaştırmak, modern uygulama mimarilerini XXE tabanlı veri sızıntılarına karşı korumanın temelidir.