OWASP Top 10, web uygulamalarındaki en kritik güvenlik risklerini özetleyen, sektörde standart kabul edilen bir farkındalık belgesidir. Bu rehber, OWASP'ın ne olduğunu, Top 10 listesinin neyi anlattığını ve güncel 2025 kategorilerini sade bir dille açıklar.
OWASP nedir?
OWASP (Open Worldwide Application Security Project), yazılım güvenliğini herkes için erişilebilir kılmayı amaçlayan, kâr amacı gütmeyen bir topluluktur. Ücretsiz araçlar, dokümanlar ve standartlar üretir; bunların en bilineni de OWASP Top 10'dur.
OWASP Top 10 nedir?
OWASP Top 10, gerçek dünya verilerine dayanarak en yaygın ve en ciddi 10 web uygulama güvenlik riskini sıralar. Bir "her açığın listesi" değil, geliştiricilerin ve kurumların öncelik vermesi gereken risk kategorilerinin bir özetidir. Liste periyodik olarak güncellenir (ör. 2021'den 2025'e).
Güncel liste (2025)
- A01 — Broken Access Control: Kullanıcıların yetkileri dışındaki verilere veya işlemlere erişebilmesi. Listenin bir numarası.
- A02 — Security Misconfiguration: Hatalı veya eksik güvenlik yapılandırması (varsayılan ayarlar, gereksiz açık özellikler).
- A03 — Software Supply Chain Failures: Yazılım tedarik zinciri açıkları — güvenilmeyen bağımlılıklar, bileşenler ve derleme süreçleri.
- A04 — Cryptographic Failures: Zayıf veya eksik şifreleme; hassas verinin yeterince korunmaması.
- A05 — Injection: Güvenilmeyen girdinin komut/sorgu olarak yorumlanması (SQL injection gibi).
- A06 — Insecure Design: Tasarım aşamasında güvenliğin göz ardı edilmesinden doğan zafiyetler.
- A07 — Authentication Failures: Kimlik doğrulama ve oturum yönetimi zafiyetleri (zayıf parola, kötü oturum yönetimi).
- A08 — Software or Data Integrity Failures: Yazılım/veri bütünlüğü zafiyetleri — doğrulanmamış güncellemeler, güvensiz CI/CD.
- A09 — Security Logging and Alerting Failures: Yetersiz loglama ve uyarı; saldırıların fark edilememesi.
- A10 — Mishandling of Exceptional Conditions: İstisnai durumların hatalı yönetimi — kötü hata yönetimi, "fail-open" ve mantık hataları (2025'te yeni).

Neden önemli?
OWASP Top 10, güvenli yazılım geliştirmenin ortak dilidir. Geliştiriciler için "nelere dikkat etmeliyim" listesi, kurumlar için ise güvenlik programının başlangıç çerçevesidir. Birçok güvenlik denetimi ve uyum çalışması da bu listeyi referans alır.
Nasıl kullanılır?
En etkili yaklaşım, listeyi bir "kontrol listesi"nin ötesinde bir düşünme çerçevesi olarak kullanmaktır: her kategori için "benim uygulamamda bu risk nerede olabilir ve nasıl önlerim" diye sormak. Güvenli tasarım (secure by design), girdi doğrulama, en az yetki (least privilege) ve düzenli test bu risklerin çoğunu azaltır.

