Web Uygulaması Sızma Testi Checklist (OWASP)

Kısaca

• Kimlik ve oturum yönetimi açıkları en kritik etkiyi yaratır; öncelik verin.
• Girdi doğrulama sadece SQLi değil; SSTI, deserialization ve template injection’ı da kapsar.
• İş mantığı testleri otomatik tarayıcıların yakalayamadığı hataları ortaya çıkarır.

Özet Anlatım

Web uygulaması güvenliği; kimlik ve oturumun doğru yönetilmesi, girdilerin hem istemci hem de sunucu tarafında güvenli şekilde işlenmesi ve iş mantığının beklenen kurallara uygun çalışmasıyla başlar. Basit bir parola reset akışındaki küçük bir ihmal bile hesap ele geçirmeye, bir dosya yükleme ucundaki tip kontrolü eksikliği uzaktan kod çalıştırmaya kadar gidebilir.

Bu rehber, sürüm öncesi yapacağınız kısa bir yürüyüşte en kritik kontrol noktalarını görünür kılar. Amaç, her satırı ezberlemek değil; risk odaklı bir gözle hızla “nereler kırılabilir?” sorusuna yanıt bulmaktır.

Auth ve Oturum

• Parola politikası, MFA, brute force rate limit
• Session fixation/timeout, cookie flag’leri (HttpOnly/Secure/SameSite)
• Yetkilendirme kontrolleri (IDOR, erişim matrisleri)

Girdi Doğrulama ve Enjeksiyon

• SQLi/NoSQLi, XSS (reflected/stored/DOM), XXE, SSTI
• Serileştirme, dosya yükleme ve içerik türü kontrolleri
• Ön uç doğrulaması + arka uç doğrulaması birleşik olmalı

İş Mantığı ve Akışlar

• Parasal/puan bazlı işlemlerde tek yönlü doğrulamaya dikkat
• Durum makinelerinde beklenmeyen geçişler ve yarış koşulları
• Yetkisiz veri erişimi (listeleme/filtre bypass)

Pratik Rehber

Sürümden önce kısa bir yürüyüş yapın: Kimlik akışları çalışıyor mu, yetki kontrolleri beklenen sınırları çiziyor mu, dosya yükleme ve kullanıcıdan gelen içerikler güvenle işleniyor mu? Bu üç soru çoğu ciddi problemi daha canlıya çıkmadan yakalamanızı sağlar.

Örnek senaryo: Parola sıfırlama sürecinde üretilen bağlantının süresi kısıtlı değilse veya aynı bağlantı birden çok kez kullanılabiliyorsa, hesap ele geçirme riski doğar. Basit bir süre sınırı, tek kullanımlık token ve başarılı işlem sonrası tüm token’ların iptali bu riski hızla düşürür.

Adım adım (sürüm öncesi kısa yürüyüş):

1. Kimlik akışlarını deneyin. Kayıt, giriş, parola sıfırlama ve MFA adımlarında beklenmeyen atlamalar var mı? Yanlış/eksik girişlerde anlamlı ve güvenli geri bildirim veriliyor mu?
2. Yetki kontrollerini doğrulayın. Basit ID değişimleriyle (IDOR) başkasına ait kayıtlara erişilebiliyor mu; liste/filtre uçlarında rol bazlı kısıtlar çalışıyor mu?
3. Girdi güvenliğini sınayın. Yorum, profil, dosya yükleme gibi uçlarda XSS/SSRF/XXE gibi enjeksiyonlar mümkün mü; içerik türü/doğrulama düzgün mü?
4. İş mantığını gözden geçirin. Ödeme, puan veya indirim akışlarında hile yapılabiliyor mu; yarış koşulları sonuçları bozuyor mu?

OWASP Top 10 2021 Detaylı Analiz

OWASP Top 10, web uygulamalarındaki en kritik güvenlik açığı kategorilerini tanımlayan ve dünya genelinde referans alınan bir standarttır. 2021 güncellemesi, saldırı trendlerindeki değişimleri yansıtan önemli yenilikleri beraberinde getirmiştir. Her kategori için doğru sızma testi yaklaşımı uygulamak, güvenlik değerlendirmesinin derinliğini ve etkinliğini artırır.

A01: Broken Access Control - 2017'de 5. sıradan 1. sıraya yükselen bu kategori, yetkilendirme eksikliklerini kapsar. IDOR testleri, yatay/dikey yetki yükseltme denemeleri, URL manipülasyonu ve API endpoint erişim kontrolleri bu kategoride test edilir. A02: Cryptographic Failures - Eski adıyla "Sensitive Data Exposure"; şifreleme algoritma zayıflıkları, sertifika yapılandırma hataları, hassas veri aktarımında TLS eksikliği ve veritabanında düz metin saklama kontrol edilir.

A03: Injection - SQLi, NoSQLi, OS Command Injection, LDAP Injection ve yeni eklenen XSS bu kategoride değerlendirilir. A04: Insecure Design - 2021'de yeni eklenen bu kategori, tasarım aşamasındaki güvenlik eksikliklerini hedefler; tehdit modelleme ve güvenli tasarım kalıpları burada test edilir. A05: Security Misconfiguration - Varsayılan ayarlar, gereksiz özellikler, açık hata mesajları, XML harici varlıklar (XXE) ve bulut yapılandırma hataları incelenir.

A06: Vulnerable and Outdated Components - Bilinen güvenlik açığı barındıran kütüphane ve çerçeveler kontrol edilir; SCA araçlarıyla otomatik tespit desteklenir. A07: Identification and Authentication Failures - Brute force koruması, MFA, oturum yönetimi ve parola politikaları test edilir. A08: Software and Data Integrity Failures - CI/CD pipeline güvenliği, bütünlük kontrolleri ve deserialization açıkları incelenir. A09: Security Logging and Monitoring Failures - Yeterli log üretimi, saldırı tespiti ve alarm mekanizmaları doğrulanır. A10: Server-Side Request Forgery (SSRF) - 2021'de listeye eklenen SSRF, iç ağ erişimi ve metadata endpoint sorgulama testlerini kapsar.

• A01 (Broken Access Control): IDOR, yetki yükseltme, URL/API endpoint kontrolü
• A02 (Cryptographic Failures): TLS, şifreleme zayıflıkları, hassas veri saklama
• A03 (Injection): SQLi, XSS, Command Injection, LDAP Injection
• A04 (Insecure Design): Tehdit modelleme, güvenli tasarım kalıpları
• A05 (Security Misconfiguration): Varsayılan ayarlar, XXE, hata mesajları
• A06 (Vulnerable Components): Eski kütüphaneler, CVE eşleştirme, SCA
• A07 (Auth Failures): Brute force, MFA bypass, oturum saldırıları
• A08 (Integrity Failures): CI/CD güvenliği, deserialization
• A09 (Logging Failures): Log yeterliliği, alarm mekanizmaları
• A10 (SSRF): İç ağ erişimi, cloud metadata sorgulama

API Güvenlik Testleri

Modern web uygulamaları büyük ölçüde API'lere dayanır ve API güvenlik testleri, sızma testi kapsamının ayrılmaz bir parçasıdır. OWASP API Security Top 10, API'lere özgü en kritik güvenlik açığı kategorilerini tanımlar ve web uygulaması checklist'ini tamamlayıcı niteliktedir.

BOLA (Broken Object Level Authorization), API güvenliğinin en yaygın açığıdır; kullanıcının ID parametresini değiştirerek başka kullanıcının verisine erişmesidir. Broken Authentication, zayıf API key yönetimi, JWT token manipülasyonu ve OAuth akış zayıflıklarını kapsar. Excessive Data Exposure, API yanıtlarında gereksiz veri döndürülmesini hedefler - istemci tarafında filtrelemeye güvenmek yerine sunucu tarafında minimal veri döndürme prensibi test edilir.

Rate limiting eksikliği, brute force, credential stuffing ve kaynak tüketme saldırılarına zemin hazırlar. Broken Function Level Authorization, farklı yetki seviyelerindeki API endpoint'lerine yetkisiz erişim testini kapsar. Mass Assignment, istemciden gelen verinin validasyonsuz model güncellemeye yol açmasını test eder.

SİTEY'in zafiyet yönetimi platformu, API sızma testi bulgularını ayrı bir kategori olarak izler. API endpoint envanteri, swagger/OpenAPI dosyalarından otomatik çıkarılabilir ve her endpoint'in güvenlik durumu ayrı ayrı takip edilir. Siber güvenlik ekipleri bu sayede API güvenlik borçlarını net bir şekilde görüntüleyebilir.

• BOLA: Object-level authorization bypass - en yaygın API açığı
• Broken Auth: JWT manipülasyonu, OAuth zayıflıkları, API key yönetimi
• Excessive Data Exposure: Gereksiz veri döndürme, minimal yanıt prensibi
• Rate Limiting: Brute force ve kaynak tüketme koruması
• Mass Assignment: Model güncelleme saldırıları ve input whitelisting
• SSRF via API: API üzerinden iç ağ erişimi ve cloud metadata sorgulama

İş Mantığı Testleri

İş mantığı açıkları, otomatik tarayıcıların yakalayamadığı ancak iş etkisi en yüksek olan güvenlik açığı kategorisidir. Bu testler, uygulamanın iş kurallarının beklenmeyen şekillerde atlatılıp atlatılamadığını araştırır ve deneyimli sızma testi uzmanlarının manuel keşfini gerektirir.

İş akışı bypass (workflow bypass), çok adımlı süreçlerde adımların atlanması veya sırasının değiştirilmesidir. Örneğin bir e-ticaret sitesinde ödeme adımını atlayarak sipariş tamamlama, bir onay sürecinde bekleme adımını geçerek doğrudan işlem yapma gibi senaryolar test edilmelidir. Her adımın sunucu tarafında bağımsız olarak doğrulandığı kontrol edilir.

Yarış koşulları (race conditions), birden fazla eşzamanlı isteğin beklenen iş kurallarını bozmasıdır. Kupon/promosyon kodunun birden fazla kez kullanılması, bakiye kontrolünden önce çoklu transfer talebi gönderme veya stok kontrolünden önce paralel sipariş oluşturma gibi senaryolar dikkatle test edilmelidir. Burp Suite'in Turbo Intruder'ı ve özel scriptler bu testlerde kullanılır.

Fiyat ve miktar manipülasyonu, istemci tarafında hesaplanan ama sunucu tarafında yeterince doğrulanmayan değerlerin değiştirilmesidir. Negatif miktar, sıfır fiyat, aşırı büyük indirim oranı gibi sınır değerler test edilir. SİTEY'in zafiyet yönetimi platformu, iş mantığı bulgularını ayrı bir kategori altında izler ve siber güvenlik ekiplerinin bu zor tespit edilen açıkları sistematik olarak takip etmesini sağlar.

• Workflow bypass: Adım atlama, sıra değiştirme, zorunlu adımı geçme
• Race conditions: Eşzamanlı istek, çift harcama, stok/bakiye bozulması
• Fiyat manipülasyonu: Negatif miktar, sıfır fiyat, indirim kodu istismarı
• Rol/özellik istismarı: Ücretsiz hesapla premium özellik kullanma
• Veri sızıntısı: Yetkisiz listeleme, filtre bypass, arama sorgusu istismarı

Otomasyon ve Manuel Test Dengesi

Etkili bir web uygulaması sızma testi, otomasyon ve manuel keşfin dengeli kullanımıyla mümkündür. Yalnızca otomatik tarayıcılara güvenmek iş mantığı açıklarını, bağlamsal zayıflıkları ve zincirleme saldırı senaryolarını atlama riski taşır. Yalnızca manuel test ise kapsam eksikliği ve tekrarlanamaz sonuçlar doğurabilir.

Otomasyonun güçlü olduğu alanlar: Bilinen güvenlik açığı örüntüleri (SQLi, XSS, XXE), yapılandırma kontrolleri, SSL/TLS analizi, header güvenlik kontrolleri ve bağımlılık taraması (SCA). Bu testler DAST araçları (ZAP, Burp Suite Pro, Nuclei) ve SCA araçları (Trivy, Snyk) ile hızla otomatikleştirilebilir ve CI/CD pipeline'larına entegre edilebilir.

Manuel keşfin kritik olduğu alanlar: İş mantığı testleri, yetkilendirme matris doğrulaması, çok adımlı işlem akışları, zincirleme açıklar (chain attacks) ve bağlam gerektiren senaryolar. Deneyimli bir siber güvenlik uzmanının yaratıcı düşünce ve sezgisi, otomatik araçların yakalayamadığı güvenlik açığı kombinasyonlarını ortaya çıkarır.

Optimum yaklaşım, otomasyonu keşfin ilk aşaması olarak kullanmak, sonuçları manuel doğrulama ile zenginleştirmek ve iş mantığı testlerini tamamen manuel yürütmektir. SİTEY'in zafiyet yönetimi platformu, hem otomatik taramalardan hem de manuel testlerden gelen bulguları tek çatı altında birleştirir, tekilleştirir ve önceliklendirir.

• Otomatik: SQLi/XSS tarama, SSL analizi, header kontrolleri, SCA - CI/CD entegrasyonu
• Yarı-otomatik: Fuzzing, parametre keşfi, endpoint envanteri - araç + insan yönlendirmesi
• Manuel: İş mantığı, yetkilendirme matrisi, zincirleme saldırı - uzman gereksinimi
• Doğrulama: Otomatik bulguların manuel teyidi - yanlış pozitif eleme
• Raporlama: Tüm bulguların SİTEY'de birleştirilmesi ve önceliklendirilmesi

Yaygın Yanlış Pozitifler

Web uygulaması sızma testi ve güvenlik taramalarında yanlış pozitifler, analist zamanını boşa harcar, güvenilirliği sarsar ve gerçek güvenlik açığı bulgularının gözden kaçmasına neden olur. En yaygın yanlış pozitif kaynaklarını tanımak, doğrulama sürecini hızlandırır.

XSS yanlış pozitivleri en sık karşılaşılan türdür. Otomatik tarayıcılar, çıktıda yansıyan girdileri XSS olarak raporlar ancak WAF, Content-Security-Policy veya çıktı kodlaması (output encoding) nedeniyle exploit edilemeyebilir. Doğrulama için tarayıcı konsolunda payload'un gerçekten çalışıp çalışmadığı kontrol edilmelidir.

SSL/TLS bulguları da sık yanlış pozitif kaynağıdır. Eski cipher suite'ler veya protocol versiyonları raporlanabilir ancak bunlar load balancer veya CDN arkasında terminate ediliyor ve gerçek sunucuya ulaşmıyorlarsa pratik risk taşımaz. Yine de en iyi pratik olarak teorik risklerin de kayıt altına alınması önerilir.

Doğrulama süreci: Her otomatik bulgu kanıtla desteklenmelidir. Reprodüksiyon adımları, ekran görüntüleri, HTTP istek/yanıt çiftleri ve iş etkisi analizi yanlış pozitif ayrımını netleştirir. SİTEY'in zafiyet yönetimi platformundaki doğrulama iş akışı, bulguları "onaylandı / yanlış pozitif / kabul edilmiş risk" durumlarına sınıflandırır ve siber güvenlik ekibinin verimliliğini artırır.

• XSS false positives: Output encoding veya CSP ile korunan yansımalar
• SSL/TLS: CDN/LB arkasında terminate edilen eski protokol uyarıları
• Missing headers: Bağlama göre risk taşımayan eksik güvenlik başlıkları
• Cookie flags: Hassas veri taşımayan çerezlerde eksik Secure/HttpOnly
• Information disclosure: Kamuya açık bilgilerin "sızıntı" olarak raporlanması
• Doğrulama: PoC, reprodüksiyon, HTTP kanıtı ve iş etkisi ile teyit zorunluluğu

Remediation Önceliklendirme

Web uygulaması sızma testi sonuçlarında düzinelerce bulgu çıkabilir; hepsini aynı anda düzeltmek nadiren mümkündür. Risk tabanlı önceliklendirme, sınırlı kaynakları en yüksek etkiyi yaratacak düzeltmelere yönlendirir.

Hızlı kazanımlar (quick wins), az eforla büyük risk azaltma sağlayan düzeltmelerdir. Güvenlik başlıklarının eklenmesi (CSP, X-Frame-Options, HSTS), varsayılan parolaların değiştirilmesi, hata mesajlarının bilgi ifşası yapmaması için düzenlenmesi ve gereksiz HTTP yöntemlerinin kapatılması bu kategoridedir. Bu düzeltmeler genellikle saatler içinde uygulanabilir.

Yapısal düzeltmeler ise daha fazla efor gerektiren ama kalıcı güvenlik iyileştirmesi sağlayan değişikliklerdir. Input validation framework'ünün yeniden tasarlanması, yetkilendirme matrisinin sıfırdan kurgulanması, oturum yönetimi altyapısının güçlendirilmesi ve güvenli kodlama standartlarının benimsenmesi bu kategoriye girer. Bu düzeltmeler sprint planlamasına alınmalı ve kademeli olarak uygulanmalıdır.

Önceliklendirme matrisi: Her bulgu; exploit edilebilirlik (aktif exploit var mı?), iş etkisi (veri sızıntısı, hesap ele geçirme, finansal kayıp) ve düzeltme eforu (saat/gün/sprint) eksenlerinde değerlendirilmelidir. Yüksek exploit + yüksek etki + düşük efor olan bulgular 1. öncelik grubudur. SİTEY'in zafiyet yönetimi platformu bu matrisi otomatik hesaplar ve düzeltme sırasını öneren bir remediation roadmap sunar.

• Acil (P0): Aktif exploit, veri sızıntısı, RCE - 24-72 saat içinde düzelt
• Yüksek (P1): Auth bypass, IDOR, SQL Injection - bu sprint içinde düzelt
• Orta (P2): XSS (stored), CSRF, bilgi ifşası - sonraki sprint'e planla
• Düşük (P3): Eksik header, cookie flag, minör bilgi sızıntısı - backlog
• Quick win: Yapılandırma değişiklikleri, header ekleme - hemen uygula
• Yapısal: Framework değişikliği, mimari iyileştirme - roadmap'e ekle

Güvenlik Başlıkları (Security Headers) Kontrol Listesi

Web uygulamalarında güvenlik başlıkları, tarayıcı tarafında uygulanan savunma katmanlarıdır. Eksik veya yanlış yapılandırılmış başlıklar, XSS, clickjacking ve veri sızıntısı gibi güvenlik açığı kategorilerinin sömürülmesini kolaylaştırır. Sızma testi sırasında her yanıttaki güvenlik başlıkları kontrol edilmelidir.

Content-Security-Policy (CSP), XSS saldırılarına karşı en etkili tarayıcı taraflı savunmadır. Hangi kaynaklardan script, stil ve medya yükleneceğini sınırlar. unsafe-inline ve unsafe-eval kullanımı CSP'nin etkinliğini büyük ölçüde azaltır; mümkünse nonce veya hash tabanlı politikalar tercih edilmelidir.

Strict-Transport-Security (HSTS), tarayıcıyı yalnızca HTTPS üzerinden bağlanmaya zorlar. max-age en az 1 yıl (31536000 saniye) olmalı, includeSubDomains aktif olmalıdır. X-Frame-Options veya CSP frame-ancestors ile clickjacking önlenir. X-Content-Type-Options: nosniff ise MIME-type sniffing saldırılarını engeller.

SİTEY'in zafiyet yönetimi platformu, header eksikliklerini otomatik olarak kategorize eder ve remediation rehberi sunar. Apache, Nginx, IIS ve CDN yapılandırmaları için hazır snippet'ler, düzeltme süresini siber güvenlik ekipleri için dakikalara indirir.

• CSP: XSS koruması - script-src, style-src, frame-ancestors tanımları
• HSTS: HTTPS zorlaması - max-age ≥31536000, includeSubDomains
• X-Frame-Options: Clickjacking koruması - DENY veya SAMEORIGIN
• X-Content-Type-Options: MIME sniffing engelleme - nosniff
• Referrer-Policy: Referrer bilgi sızıntısı kontrolü - strict-origin-when-cross-origin
• Permissions-Policy: Tarayıcı özellik erişim kontrolü - kamera, mikrofon, geolocation

Kullanım Senaryoları

• Release öncesi güvenlik kontrolü: Sprint kapanışında OWASP checklist üzerinden hızlı yürüyüş. Kimlik akışları, yetki kontrolleri, girdi doğrulama ve güvenlik başlıkları kontrol edilir. Bulgular SİTEY'de ticket olarak açılır ve bir sonraki sprint'e planlanır.
• Periyodik sızma testi: Yıllık veya çeyreklik kapsamlı sızma testi için OWASP checklist'i test planının omurgası olarak kullanma. Her kategori için detaylı test senaryoları hazırlanır ve sonuçlar zafiyet yönetimi platformuna aktarılır.
• Geliştirici eğitimi: Yeni geliştiricilere güvenli kodlama farkındalığı kazandırmak için checklist'in eğitim materyali olarak kullanılması. Her kategoriden gerçek dünya örnekleriyle desteklenen hands-on atölye çalışmaları.
• Bug bounty programı: Bug bounty scope tanımında OWASP kategorilerinin referans alınması, kapsam içi/dışı ayrımının netleştirilmesi. Gelen raporların OWASP kategorilerine göre sınıflandırılması ve trend analizi.
• Uyum denetimleri: ISO 27001, PCI-DSS ve KVKK denetimlerinde web uygulama güvenlik kontrolleri kanıtı olarak OWASP test sonuçlarının sunulması.

Sık Yapılan Hatalar

• Sadece otomatik tarayıcıya güvenmek: DAST araçları bilinen kalıpları yakalar ama iş mantığı, zincirleme saldırı ve durumsal açıkları atlayabilir. Manuel test mutlaka dahil edilmelidir.
• Authentication bypass testini atlamak: Yetkilendirme kontrolleri en kritik ama en sık gözden kaçan alandır. Her endpoint'te IDOR ve yetki matrisi kontrol edilmelidir.
• Yalnızca reflected XSS aramak: Stored XSS, DOM-based XSS ve mutation XSS daha etkili saldırı vektörleridir. Tüm XSS türleri test edilmelidir.
• API testlerini web testiyle karıştırmak: API'ler farklı bir saldırı yüzeyidir; OWASP API Top 10 ayrıca değerlendirilmelidir.
• Güvenlik başlıklarını ihmal etmek: CSP, HSTS ve X-Frame-Options eksiklikleri "düşük risk" diye atlanır ama saldırı zincirinin önemli bir halkası olabilir.
• Remediation önceliklendirme yapmamak: Tüm bulgular eşit öncelikle sunulursa geliştirici ekip hangi düzeltmeye önce odaklanacağını bilemez. Risk tabanlı sıralama şarttır.

Adım Adım Web Uygulama Test Süreci

1. Keşif ve haritalama: Uygulamanın tüm endpoint'lerini, parametrelerini ve akışlarını haritalayın. Spidering, sitemap analizi ve JavaScript dosyalarından endpoint keşfi yapın.
2. Kimlik ve oturum testleri: Kayıt, giriş, parola sıfırlama, MFA ve oturum yönetimi akışlarını OWASP OTG rehberine göre test edin.
3. Yetkilendirme testleri: Her kritik endpoint'te yatay ve dikey yetki yükseltme, IDOR ve fonksiyonel erişim kontrolleri deneyin.
4. Girdi doğrulama testleri: SQLi, XSS, XXE, SSTI, SSRF ve deserialization payload'larını tüm giriş noktalarında test edin.
5. İş mantığı testleri: Ödeme, stok, puan ve çok adımlı iş akışlarını manipüle etmeye çalışın. Yarış koşullarını paralel isteklerle sınayın.
6. Yapılandırma ve başlık kontrolleri: Güvenlik başlıkları, hata mesajları, debug modları, varsayılan kimlik bilgileri ve gereksiz HTTP yöntemlerini kontrol edin.
7. Raporlama ve önceliklendirme: Bulguları OWASP kategorisine ve risk seviyesine göre sınıflandırın. SİTEY'e aktararak remediation iş akışını başlatın.
8. Retest ve kapanış: Düzeltmeler tamamlandığında yeniden test yapın, kapanış kanıtlarını SİTEY'de saklayın.

SSS