Gerçekten ortaya çıkan tehditler
OWASP Top 10 standart referanstır. Aynı zamanda ekiplerin okuyup başını sallayıp kendi kodlarına çevirmediği kadar soyut.Broken access control
Listenin tepesi bir sebepten. Şekil:- Kullanıcı verisini döndüren endpoint user_id parametresi alır, isteyen kullanıcının o ID'ye hakkı olup olmadığını doğrulamaz.
- Yalnız-admin endpoint URL veya gizli form alanı manipülasyonuyla erişilebilir.
- Path parametresi alan ve her şeyi serve eden dosya indirme endpoint'i (path traversal).
Düzeltme yapısaldır: her endpoint eylemi kimlik doğrulanmış principal'a karşı yetkilendirir.
Cryptographic failures
- Hassas veri HTTP üzerinden gönderilir.
- Parolalarda zayıf hash (MD5 / SHA-1).
- Öngörülebilir session token'lar.
- Repo'larda sabit kodlanmış secret'lar.
2026 varsayılanı: parolalar için bcrypt veya argon2id, her yerde TLS, kriptografik olarak rastgele session token'lar, kodda değil vault'ta secret'lar.
Injection
SQL injection azaldı ama bitmedi. Yeni tatlar:- NoSQL injection.
- Template injection.
- LDAP injection.
- Command injection.
- Prompt injection.
Insecure design
- Sınırsız parola denemesine izin veren kimlik doğrulama.
- Parolayı gönderen parola reset'i (reset link değil).
- Servis sınırları arası güven varsayımları.
- Tasarıma gömülü ayrıcalık yükseltme yolları.
Tehdit modelleme tasarım zamanında bunları önler.
Security misconfiguration
- Varsayılan kimlik bilgileri hâlâ yerinde.
- Üretimde debug / development endpoint'ler etkin.
- Stack trace, kütüphane sürümleri sızdıran ayrıntılı hata mesajları.
- Permissive yapılandırılmış CORS.
- Güvenlik header'ları eksik (CSP, X-Frame-Options, HSTS).
Vulnerable and outdated components
- Build zamanında bağımlılık tarama.
- Registry pull'da image tarama.
- Patch sıklığı.
- Yığınınızdaki CVE'leri aktif olarak izleyin.
Authentication failures
- Brute-force koruması (rate limiting).
- Herhangi bir ayrıcalıklı eylem için MFA.
- Session expiration.
- Uzunluğu karmaşıklığa teşvik eden parola politikası.
- Public breach listelerinden parola yeniden kullanımı yok (HaveIBeenPwned API).
Software and data integrity failures
- Güvensiz kaynaklardan auto-update.
- İmza doğrulaması olmadan CI/CD pipeline.
- Kullanıcı-kontrollü verinin deserialisation'ı.
Logging and monitoring failures
- Kimlik doğrulama olayları (başarı + başarısızlık).
- Yetkilendirme başarısızlıkları.
- Ayrıcalık değişiklikleri.
- Yapılandırma değişiklikleri.
- Hassas veri erişimi.
SSRF
Uygulamanız kullanıcının verdiği URL'ye HTTP isteği yapar ve kullanıcı dahili URL verir (169.254.169.254 metadata endpoint, dahili servisler).Savunma: allow-list olmadan sunucu tarafında kullanıcı-kontrollü URL'leri fetch etme.
Uyaracağımız bir desen
"Uyumluluk odaklı güvenlik". Uyumluluk gerekli; güvenlikle aynı şey değil.Her zaman karşılığını veren bir desen
CI'da deploy öncesi güvenlik testi.Yığınınızda en çok atlanan kontrol nedir?
The threats that actually show up
The OWASP Top 10 is the standard reference. It's also abstract enough that teams read it, nod, and don't translate it to their own code.Broken access control
- Endpoint that returns a user's data accepts a user_id parameter without verifying rights.
- Admin-only endpoint accessible by manipulating URL.
- File download endpoint with path traversal.
The fix is structural: every endpoint authorises the action against the authenticated principal.
Cryptographic failures
- Sensitive data sent over HTTP.
- Weak hashing (MD5 / SHA-1) on passwords.
- Predictable session tokens.
- Hard-coded secrets in repos.
Injection
- NoSQL injection.
- Template injection.
- LDAP injection.
- Command injection.
- Prompt injection.
Insecure design
- Authentication that allows unlimited password attempts.
- Password reset that sends the password.
- Trust assumptions across service boundaries.
- Privilege escalation paths embedded in the design.
Security misconfiguration
- Default credentials still in place.
- Debug / development endpoints enabled in production.
- Verbose error messages.
- CORS configured permissively.
- Security headers missing.
Vulnerable and outdated components
- Dependency scanning at build time.
- Image scanning at registry pull.
- Patch cadence.
- Track CVEs actively.
Authentication failures
- Brute-force protection.
- MFA for any privileged action.
- Session expiration.
- Password policy that incentivises length over complexity.
- No password reuse from public breach lists.
Software and data integrity failures
- Auto-updates from untrusted sources.
- CI/CD without signature verification.
- Deserialisation of user-controlled data.
Logging and monitoring failures
Log:- Authentication events.
- Authorisation failures.
- Privilege changes.
- Configuration changes.
- Sensitive data access.
SSRF
Don't fetch user-controlled URLs server-side without an allow-list.One pattern we'd warn about
"Compliance-driven security".One pattern that always pays off
Pre-deployment security testing in CI.What's the most-overlooked control on your stack?
