OWASP Top 10, web uygulama güvenliği alanında en önemli referans kaynaklarından biridir. 2025 yılı güncellemesiyle birlikte, gelişen tehdit manzarası ve modern yazılım geliştirme pratiklerini yansıtan önemli değişiklikler getirildi. Bu yazıda, OWASP Top 10:2025’in detaylı analizini yapacağız.

OWASP Top 10:2025 Listesi

OWASP Top 10:2025, günümüzün en kritik web uygulama güvenlik risklerini aşağıdaki gibi sıralamaktadır:

1. A01:2025 - Broken Access Control
2. A02:2025 - Security Misconfiguration
3. A03:2025 - Software Supply Chain Failures
4. A04:2025 - Cryptographic Failures
5. A05:2025 - Injection
6. A06:2025 - Insecure Design
7. A07:2025 - Authentication Failures
8. A08:2025 - Software or Data Integrity Failures
9. A09:2025 - Logging & Alerting Failures
10. A10:2025 - Mishandling of Exceptional Conditions

2025’te Neler Değişti?

Yeni Kategoriler ve Önemli Değişiklikler

OWASP Top 10:2025, önceki versiyonlara göre önemli değişiklikler içeriyor. İki yeni kategori eklendi ve bir konsolidasyon gerçekleştirildi:

Zirvede Değişiklik Yok: Broken Access Control

A01:2025 - Broken Access Control pozisyonunu #1’de koruyor. Test edilen uygulamaların ortalama %3.73’ünde bu kategorideki 40 CWE’den (Common Weakness Enumeration) en az birinin bulunduğu tespit edildi. Ayrıca, Server-Side Request Forgery (SSRF) bu kategoriye dahil edildi.

Hızlı Yükseliş: Security Misconfiguration

A02:2025 - Security Misconfiguration, 2021’deki 5. sıradan 2025’te 2. sıraya yükseldi. Test edilen uygulamaların %3.00’ında bu kategorideki 16 CWE’den en az birinin bulunması şaşırtıcı değil - çünkü modern yazılım mühendisliğinde, uygulamaların davranışlarının konfigürasyonlara dayalı bölümü sürekli artıyor.

Yeni ve Kritik: Software Supply Chain Failures

A03:2025 - Software Supply Chain Failures, 2021’deki “Vulnerable and Outdated Components” kategorisinin genişletilmiş halidir. Topluluk anketinde ezici bir çoğunlukla en önemli endişe olarak oylandı.

Önemli Not: Bu kategori, veri setinde en az görülme oranına sahip olmasına rağmen, CVE’lerden elde edilen en yüksek istismar ve etki skorlarına sahip. Bu, tespit zorluklarından kaynaklanıyor ve gelecekte test metodolojilerinin bu alanda gelişmesi bekleniyor.

Düşüşler

• A04:2025 - Cryptographic Failures: 2. sıradan 4. sıraya düştü (Test edilen uygulamaların %3.80’i etkileniyor)
• A05:2025 - Injection: 3. sıradan 5. sıraya düştü (38 CWE ile en fazla CVE’ye sahip kategori)
• A06:2025 - Insecure Design: 4. sıradan 6. sıraya düştü (2021’de tanıtıldı, endüstride threat modeling konusunda iyileşmeler görülüyor)

İsim Değişiklikleri

• A07:2025 - Authentication Failures: Önceki adı “Identification and Authentication Failures” idi
• A09:2025 - Logging & Alerting Failures: Önceki adı “Security Logging and Monitoring Failures” idi - uyarı fonksiyonunun önemi vurgulanmak istendi

Tamamen Yeni Kategori

A10:2025 - Mishandling of Exceptional Conditions, 2025 için tamamen yeni bir kategori. Hatalı error handling, mantıksal hatalar, “failing open” senaryoları ve sistemlerin karşılaşabileceği anormal durumlarla ilgili 24 CWE içeriyor.

Metodoloji: Veri Odaklı Ama Körlüğe Düşmeden

OWASP Top 10:2025’in metodolojisi dikkat çekici:

Veri Kaynakları

• 2.8 milyon uygulamadan toplanan veri (2021’de 125k CVE kaydı varken, şimdi 175k)
• 589 CWE analiz edildi (2017’de 30, 2021’de 400 CWE vardı)
• 12 kategori veri bazlı sıralandı, 2 kategori topluluk anketi ile belirlendi

Neden Topluluk Anketi?

Veriler esasen geçmişe bakıyor. AppSec profesyonelleri, henüz veride görünmeyen trendleri ve bulguları görebiliyorlar. Test metodolojilerinin geliştirilmesi, otomasyona geçirilmesi ve geniş uygulama popülasyonunda çalıştırılması yıllar alabiliyor.

Bu nedenle, 10 kategorinin sadece 8’i veri bazlı seçiliyor, 2 tanesi topluluk anketiyle belirleniyor.

Kategorilerin Yapısı

CWE Sayıları

Her kategoride ortalama 25 CWE bulunuyor:

• En az: Software Supply Chain Failures ve Logging & Alerting Failures (5 CWE)
• En fazla: Broken Access Control (40 CWE - bu üst sınır)

Neden 10 CWE Değil de Kategoriler?

MITRE Top 25’e benzer şekilde 10 CWE neden kullanılmıyor? İki temel neden:

1. Tüm CWE’ler tüm dillerde/framework’lerde bulunmuyor
2. Yaygın güvenlik açıkları için birden fazla CWE var (örn: Injection, XSS, Buffer Overflow için farklı CWE’ler)

CVSS Skorlaması

• CVSSv2 ve CVSSv3 skorları kullanılıyor
• CVSSv4 henüz kullanılmıyor (skor algoritması temel olarak değişti)
• 175k CVE kaydı, 643 benzersiz CWE ile eşleştirildi

Yazılım Uzmanı Perspektifi

Odak: Semptom Değil, Kök Neden

OWASP Top 10:2025’in en önemli özelliği, semptomlar yerine kök nedenlere odaklanması:

• Kök Neden: Cryptographic Failure, Misconfiguration
• Semptom: Sensitive Data Exposure, Denial of Service

Bu yaklaşım, daha mantıklı tanımlama ve düzeltme kılavuzları sunuyor.

Gerçek Dünya Etkileri

Test edilen uygulamalardaki yaygınlık oranları dikkat çekici:

• %3.73 - Broken Access Control
• %3.80 - Cryptographic Failures
• %3.00 - Security Misconfiguration

Bu yüzdelere göre, her 25-30 uygulamadan 1’i bu kritik açıklıklardan en az birine sahip.

Sonuç ve Öneriler

OWASP Top 10:2025, modern yazılım geliştirme ekosisteminin karmaşıklığını ve gelişen tehdit manzarasını yansıtıyor. Özellikle:

1. Supply Chain güvenliği artık kritik bir öncelik
2. Konfigürasyon hataları giderek daha yaygın
3. Erişim kontrolü hâlâ #1 sorun
4. Logging ve alerting yetersiz (her zaman veride az temsil ediliyor)

Geliştiriciler İçin Tavsiyeler

• Threat modeling yapın
• Secure by design prensiplerine uyun
• Bağımlılıklarınızı sürekli güncelleyin
• Konfigürasyonları güvenlik perspektifiyle gözden geçirin
• Kapsamlı logging ve alerting sistemleri kurun
• Exception handling’i ciddiye alın

---

Not: Bu makale, OWASP Top 10:2025 Release Candidate 1 (6 Kasım 2025) sürümüne dayanmaktadır. Resmi final sürümünde değişiklikler olabilir.

Kaynak: OWASP Top 10:2025 Introduction

---

Bu içerik, modern web uygulama güvenliği için temel bir referans oluşturmayı amaçlamaktadır. Güvenlik hiçbir zaman “tamamlanmış” bir proje değildir - sürekli öğrenme ve iyileştirme gerektirir.