OWASP Top 10:2025'teki iki yeni kategori nedir?

OWASP Top 10:2025 iki yeni kategori sunuyor: A03 - Yazılım Tedarik Zinciri Hataları ve A10 - İstisnai Durumların Yanlış İşlenmesi.

2025'te 1 numaralı web uygulama güvenlik riski nedir?

Broken Access Control, test edilen uygulamaların %3,73'ünü etkileyerek ve veri setinde 318.000'den fazla oluşumla OWASP Top 10:2025'te 1 numaralı güvenlik riski olarak konumunu koruyor.

Security Misconfiguration neden 2025'te 2 numaraya yükseldi?

2025'teki en dramatik sıralama değişikliği Security Misconfiguration'ın 5'ten 2 numaraya yükselmesidir. Bu, birçok güvenlik olayının sofistike exploit'lerden değil, değiştirilmemiş varsayılan yapılandırmalar, etkinleştirilmiş gereksiz özellikler, bilgi sızdıran hata mesajları ve eksik güvenlik başlıkları gibi temel yapılandırma hatalarından kaynaklandığının artan kabulünü yansıtıyor.

A03 Software Supply Chain Failures kategorisi nedir?

Topluluğun 1 numaralı endişesi olarak resmi kategori haline gelen A03, bağımlılıklara, yapı sistemlerine ve dağıtım kanallarına duyulan güveni istismar eden tedarik zinciri saldırılarını ele alır. SolarWinds (2020), Log4j (2021) ve XZ Utils (2024) önemli örneklerdir. En az veri oluşumuna sahip olsa da en yüksek ortalama exploit ve etki puanlarına sahiptir.

Injection zafiyetleri neden 5 numaraya düştü?

Injection, 2017'de 1 numaradan 2021'de 3 numaraya ve 2025'te 5 numaraya düştü. Bu düşüş gerçek güvenlik iyileştirmelerini yansıtıyor: parametreli sorgular ve ORM katmanlarına sahip modern framework'lerin benimsenmesi, geliştirme sırasında injection kalıplarını yakalayan SAST araçları ve yirmi yıllık farkındalık kampanyalarıyla injection önlemenin temel beceri haline gelmesi.

A10 Mishandling of Exceptional Conditions kategorisi ne kapsıyor?

Yeni A10 kategorisi, uygulamaların nasıl başarısız olduğunun önemini kabul eder. Hatalı hata işleme, mantıksal hatalar, açık başarısızlık (open fail), yarış koşulları (TOCTOU) ve ayrıntılı hata mesajlarıyla yığın izleri sızdırma gibi 24 CWE içerir. Güvenli sistemler 'kapalı başarısız olur'—hatalar atlanmış kontrollerle değil erişim reddiyle sonuçlanır.

OWASP Top 10:2025 için güvenlik programları ne yapmalı?

Altı temel adım: 1) Tedarik zinciri için Yazılım Kompozisyon Analizi (SCA) uygulayın, 2) Yapılandırma yönetimine öncelik verin ve uyumluluk kontrolünü otomatikleştirin, 3) Erişim kontrol testini güçlendirin, 4) Hata işleme kalıplarını gözden geçirin, 5) Eğitim materyallerini güncelleyin, 6) WAF kurallarını 2025 kategorileriyle uyumlu hale getirin.

OWASP Top 10:2025'te kaç CWE ve CVE analiz edildi?

2025 sürümünde 589 CWE analiz edildi (2021'deki ~400'den artış) ve NVD veritabanından 175.000 CVE kaydı eşlendi. Bu genişletilmiş veri seti, sıralamaların daha kapsamlı tehdit analizi yansıtmasını sağladı.

SSRF 2025'te hangi kategoriye dahil edildi?

Daha önce A10:2021 olan Server-Side Request Forgery (SSRF - CWE-918), 2025'te A01 Broken Access Control kategorisine dahil edildi. Bu kategori artık 40 CWE kapsıyor ve CWE-200 (Hassas Bilgi İfşası), CWE-352 (CSRF) ve SSRF'yi içeriyor.

OWASP Top 10:2025 Analizi: Yeni Kategoriler ve Değişen Öncelikler

Yönetici Özeti

OWASP Top 10, sektörün web uygulama güvenlik risklerinin kesin sıralaması olarak hizmet ediyor. 6 Kasım 2025'te OWASP, 2025 sürümünü yayınladı—2021'den bu yana ilk büyük güncelleme. Bu sadece kademeli bir revizyon değil; tehdit ortamındaki ve uygulama güvenliği hakkındaki düşünce biçimimizdeki köklü değişiklikleri yansıtıyor.

İki yeni kategori güncellemenin başlığını oluşturuyor: Yazılım Tedarik Zinciri Hataları (A03), tehlikeye atılmış bağımlılıklar, kötü amaçlı paketler ve kurcalanmış yapı hatlarının artan tehdidini ele alıyor. İstisnai Durumların Yanlış İşlenmesi (A10), uygulamaların nasıl başarısız olduğunun nasıl başarılı olduğu kadar önemli olduğunu kabul ediyor. Bu arada, Broken Access Control 1 numarada konumunu koruyor, Security Misconfiguration ise 5 numaradan 2 numaraya yükseldi.

Sıralamaların ötesinde, 2025 sürümü belirtilerden kök nedenlere felsefi bir kayışı temsil ediyor. Bu rapor her kategoriyi analiz ediyor, sıralama değişikliklerini açıklıyor ve yeni çerçeveye uyum sağlayan güvenlik programları için uygulanabilir rehberlik sağlıyor.

Rakamlarla 2025 Sürümü

589

CWE Analiz Edildi

2021'deki ~400'den artış

OWASP

175 Bin

CVE Kaydı

NVD veritabanından eşlendi

OWASP

Yeni Kategori

Tedarik Zinciri ve İstisna Durumları

OWASP

%3,73

Erişim Kontrol Hataları

BAC sorunu olan uygulamalar

OWASP

2021 ve 2025: Tam Sıralama Karşılaştırması

2025 güncellemesi birçok kategoriyi yeniden düzenliyor ve iki yeni giriş sunuyor. Bu değişiklikleri anlamak güvenlik yatırımlarının önceliklendirilmesine yardımcı olur.

2025 Sırası	Kategori	2021 Sırası	Değişim	CWE
A01	Broken Access Control	#1	Sabit (SSRF birleşti)	40
A02	Security Misconfiguration	#5	+3 sıra	16
A03	Software Supply Chain Failures	YENİ	Topluluk önceliği #1	5
A04	Cryptographic Failures	#2	-2 sıra	32
A05	Injection	#3	-2 sıra	38
A06	Insecure Design	#4	-2 sıra	—
A07	Authentication Failures	#7	Sabit	36
A08	Software/Data Integrity Failures	#8	Sabit	—
A09	Logging & Alerting Failures	#9	Sabit (yeniden adlandırıldı)	5
A10	Mishandling of Exceptional Conditions	YENİ	24 CWE birleştirildi	24

A01:2025 – Broken Access Control

Art arda ikinci sürümde 1 numarada konumunu koruyarak, Broken Access Control en kritik web uygulama güvenlik riski olmaya devam ediyor. 2025'te SSRF bu kategoriye dahil edildi.

Yaygınlık: %3,73

Test edilen tüm uygulamaların %3,73'ü bozuk erişim kontrolü zafiyetleri sergiledi. 318.000'den fazla oluşumla en yüksek oluşum oranına sahip.

40 CWE Kapsanıyor

En büyük kategori CWE-200 (Hassas Bilgilerin Yetkisiz Aktöre İfşası), CWE-352 (CSRF) ve artık CWE-918'i (SSRF) içeriyor.

%94 Test Kapsamı

Neredeyse tüm uygulamalar (%94) bozuk erişim kontrolü için test edildi, bu risk kategorisinin sektör genelinde farkındalığını gösteriyor.

SSRF Artık Dahil

Daha önce A10:2021 olan Server-Side Request Forgery, Broken Access Control'e dahil edildi.

A02:2025 – Security Misconfiguration (5 Numaradan Yükseldi)

2025'teki en dramatik sıralama değişikliği Security Misconfiguration'ın beşinci sıradan ikinci sıraya yükselmesi. Bu, birçok güvenlik olayının sofistike exploit'lerden değil, istismar edilebilir koşullar yaratan temel yapılandırma hatalarından kaynaklandığının artan kabulünü yansıtıyor.

Bu kategori değiştirilmemiş varsayılan yapılandırmaları, etkinleştirilmiş gereksiz özellikleri, bilgi sızdıran ayrıntılı hata mesajlarını, eksik güvenlik başlıklarını, güncel olmayan yazılımları ve güvensiz bulut depolama izinlerini kapsar.

Test edilen uygulamaların %3,00'ını etkileyen 16 CWE ile yanlış yapılandırmalar genellikle saldırganlar için düşük dalda meyve temsil ediyor.

A03:2025 – Software Supply Chain Failures (YENİ)

Topluluğun 1 numaralı endişesi resmi bir kategori haline geliyor. Tedarik zinciri saldırıları bağımlılıklara, yapı sistemlerine ve dağıtım kanallarına duyulan güveni istismar ediyor. Önemli olaylar arasında SolarWinds (2020), Log4j (2021) ve XZ Utils (2024) var. Bu kategori en az veri oluşumuna sahip olsa da (5 CWE), en yüksek ortalama exploit ve etki puanlarına sahip—bu da başarılı saldırıları felaket düzeyinde yıkıcı yapıyor.

Injection'ın Düşüşü: 1 Numaradan 5 Numaraya

Bir zamanlar web uygulama risklerinin tartışmasız kralı olan Injection zafiyetleri, 1 numaradan (2017) 3 numaraya (2021) ve 5 numaraya (2025) düştü. Bu düşüş gerçek güvenlik iyileştirmelerini yansıtıyor.

Framework Benimsenmesi

Parametreli sorgular, prepared statement'lar ve ORM katmanlarına sahip modern framework'ler SQL injection'ı yapısal olarak zorlaştırdı.

Statik Analiz

SAST araçları geliştirme sırasında injection kalıplarını etkili bir şekilde tespit ederek zafiyetleri üretime ulaşmadan yakalıyor.

Geliştirici Eğitimi

Yirmi yıllık farkındalık kampanyaları injection önlemeyi her güvenlik eğitim programında öğretilen temel bir beceri haline getirdi.

A04:2025 – Cryptographic Failures (2 Numaradan Düştü)

Kriptografik Hatalar iki sıra düşerek 4 numaraya geriledi, ancak bu azalan önemi göstermiyor. Daha ziyade, yanlış yapılandırma ve tedarik zinciri endişelerinin yükselişi göreceli olarak onu yerinden etti. 32 CWE ve %3,80 yaygınlık oranıyla kriptografik zayıflıklar önemli olmaya devam ediyor.

Bu kategori durağan ve aktarım halindeki verileri korumadaki hataları ele alıyor: zayıf algoritmalar, yanlış anahtar yönetimi, yetersiz entropi, kullanımdan kaldırılmış protokoller ve sertifika doğrulama bypass'ları.

A10:2025 – Mishandling of Exceptional Conditions (YENİ)

İkinci yeni kategori, uygulamaların nasıl başarısız olduğunun nasıl başarılı olduğu kadar önemli olduğunu kabul ediyor.

Bu kategori hatalı hata işleme, mantıksal hatalar, açık başarısızlık, yarış koşulları ve anormal durumlardan kaynaklanan diğer senaryolara odaklanan 24 CWE içeriyor.

Güvenli sistemler 'kapalı başarısız olur'—bir şeyler ters gittiğinde erişimi reddederler. Güvensiz sistemler 'açık başarısız olur'—hatalar atlanmış kontrollerle sonuçlanır.

Ayrıntılı hata mesajları yığın izlerini, veritabanı şemalarını, dosya yollarını ve dahili mantığı ortaya çıkarır. Üretim sistemleri genel hatalar göstermelidir.

Kontrol zamanından kullanım zamanına (TOCTOU) zafiyetleri, saldırganların bir koşulun doğrulandığı ve üzerine hareket edildiği zaman arasındaki boşluğu istismar etmesine olanak tanır.

Bu zayıflıklar daha önce 'zayıf kod kalitesi' altında gruplandırılıyordu, ancak güvenlik etkileri özel odak gerektiriyor.

Felsefi Kayış: Belirtiler Yerine Kök Nedenler

2025 sürümü açıkça belirtiler yerine kök nedenlere öncelik veriyor. Önceki sürümler bazen bunları karıştırıyordu—'Hassas Veri İfşası' ne olduğunu, nedenini değil açıklıyor. 2025 çerçevesi soruyor: hangi temel zayıflık sonucu mümkün kıldı?

Güvenlik Programınız İçin Ne Anlama Geliyor

Yazılım Kompozisyon Analizi Uygulayın

Tedarik zinciri hataları artık A03'te olduğundan, bağımlılıklara sürekli görünürlük gerekiyor. Savunmasız bileşenleri tanımlayan SCA araçları dağıtın.

Yapılandırma Yönetimine Öncelik Verin

Security Misconfiguration'ın 2 numaraya yükselişi dikkat gerektiriyor. Yapılandırma temel çizgileri uygulayın ve uyumluluk kontrolünü otomatikleştirin.

Erişim Kontrolü Testini Güçlendirin

318.000'den fazla oluşumla 1 numarada olan Broken Access Control, erişim kontrol modelinizin titiz teste ihtiyacı olduğu anlamına geliyor.

Hata İşleme Kalıplarını Gözden Geçirin

Yeni İstisnai Durumlar kategorisi, uygulamalarınızın nasıl başarısız olduğunu gözden geçirmeyi gerektiriyor.

Eğitim Materyallerini Güncelleyin

Geliştirici eğitiminiz hala injection'ı 1 numaralı risk olarak vurguluyorsa, güncelleyin.

WAF Kurallarını 2025 Kategorileriyle Uyumlu Hale Getirin

Web Application Firewall kural setinizin tüm 2025 kategorilerini ele aldığından emin olun.

TR7 ile OWASP Top 10:2025 Koruması

Broken Access Control

Ayrıntılı erişim kontrol politikaları, BOLA/IDOR tespiti, SSRF önleme ve CSRF koruması.

Security Misconfiguration

Güvenlik sertleştirme rehberliği, varsayılan yapılandırma uyarıları ve başlık zorlaması.

Injection Savunması

Gelişmiş WAF kuralları SQL, NoSQL, OS komutu ve LDAP injection girişimlerini tespit eder.

Kriptografik Zorlama

Modern şifre paketleriyle SSL/TLS sonlandırma, sertifika yönetimi ve protokol zorlaması.

Hata İşleme Koruması

Özel hata sayfaları, yığın izi bastırma ve hata tabanlı saldırılar için anomali tespiti.

Gerçek Zamanlı İzleme

Kapsamlı günlükleme, uyarı ve analitik tüm saldırı kategorilerinde görünürlük sağlar.

Referanslar ve Kaynaklar

OWASP Top 10:2025 RC1 - Kategori tanımları, istatistikler ve metodoloji değişiklikleri için birincil kaynak. https://owasp.org/Top10/2025/0x00_2025-Introduction/

Tarihsel sürümler ve tamamlayıcı materyallerle resmi proje sayfası. https://owasp.org/www-project-top-ten/

2025 değişikliklerinin geliştirici odaklı analizi. https://www.aikido.dev/blog/owasp-top-10-2025-changes-for-developers

2025 güncellemesine sektör perspektifi. https://www.fastly.com/blog/new-2025-owasp-top-10-list-what-changed-what-you-need-to-know

Yeni tedarik zinciri kategorisine derinlemesine bakış. https://eclypsium.com/blog/owasp-top-10-2025-software-supply-chain-risk/

Güvenliğinizi OWASP 2025 ile Uyumlu Hale Getirin

OWASP Top 10:2025 web uygulama güvenliğini nasıl önceliklendirdiğimizi yeniden şekillendiriyor. TR7'nin entegre güvenlik platformu on kategorinin tümüne karşı derinlemesine savunma sağlar.

WAF Korumasını Keşfedin