Web Güvenliği Nedir? XSS, CSRF ve SQL Injection Rehberi
Bilgi Merkezi / Web Güvenliği Nedir?
Web Güvenliği Nedir? XSS, CSRF ve SQL Injection Rehberi
Giriş
Web güvenliği, bir web uygulamasını dışarıdan gelen saldırılara karşı koruma altına alma sürecidir. Her geçen gün daha fazla kişisel veri internete taşınırken, bu verileri hedef alan saldırılar da artmaktadır.
Bu rehberde en yaygın web güvenlik açıklarını — XSS, CSRF, SQL Injection ve Clickjacking'i — sade bir dille açıklıyor, her birine karşı nasıl korunabileceğinizi anlatıyoruz.
Web Güvenliği Neden Önemlidir?
Güvenlik açığı olan bir web sitesi; kullanıcı verilerini, şifreleri ve ödeme bilgilerini tehlikeye atar. Üstelik bu durum hem kullanıcı güvenini hem de SEO sıralamalarını doğrudan etkiler.
- Kullanıcı verilerinin çalınması
- Sahte işlem ve dolandırıcılık
- Site itibarının zedelenmesi
- Arama motorlarında kara listeye alınma
- Yasal yaptırımlar (KVKK, GDPR)
Web Güvenliği - XSS, CSRF ve SQL Injection'a Karşı Korunma
En Yaygın Web Güvenlik Tehditleri
Web uygulamalarını tehdit eden dört temel saldırı türü ve bunlara karşı alınabilecek önlemler:
1. XSS (Cross-Site Scripting)
Saldırgan, bir web sayfasına kötü amaçlı JavaScript kodu yerleştirir. Sayfayı ziyaret eden kullanıcıların tarayıcısında bu kod çalışır; çerezler, oturum bilgileri veya kişisel veriler çalınabilir.
Korunma yöntemi: Kullanıcıdan gelen tüm veriler ekrana yansıtılmadan önce escape (kaçış) işlemine tabi tutulmalı, Content Security Policy (CSP) başlığı aktif edilmelidir.
2. CSRF (Cross-Site Request Forgery)
Kullanıcının, farkında olmadan oturum açık olduğu bir sitede yetkisiz işlem yapmasına neden olan saldırıdır. Örneğin; bir banka sitesinde oturum açık olan kullanıcı, zararlı bir bağlantıya tıklayarak para transferi başlatabilir.
Korunma yöntemi: Her form ve API isteğine tahmin edilemeyen bir CSRF token eklenmeli, SameSite çerez politikası kullanılmalıdır.
3. SQL Injection
Saldırgan, bir arama kutusu veya giriş formu gibi alanlara özel SQL komutları yazarak veritabanına doğrudan erişmeye çalışır. Başarılı olursa tüm kullanıcı verileri ele geçirilebilir ya da silinebilir.
Korunma yöntemi: Veritabanı sorgularında her zaman parametreli sorgular (prepared statements) veya ORM kullanılmalı, kullanıcı girdisi asla sorguya doğrudan eklenmemelidir.
4. Clickjacking
Saldırgan, güvenilir bir siteyi görünmez bir katman olarak başka bir sayfanın üzerine yerleştirir. Kullanıcı masum göründüğü bir butona tıklarken aslında gizli bir işlemi onaylar.
Korunma yöntemi: X-Frame-Options HTTP başlığı ile sitenizin başka sayfalara gömülmesi engellenmelidir.
Tehdit Türleri Karşılaştırması
| Saldırı Türü | Hedef | Risk Seviyesi | Temel Önlem |
|---|---|---|---|
| XSS | Tarayıcı / Kullanıcı | Yüksek | CSP + Escape |
| CSRF | Oturum / İşlem | Yüksek | CSRF Token |
| SQL Injection | Veritabanı | Kritik | Parametreli Sorgu |
| Clickjacking | Kullanıcı Etkileşimi | Orta | X-Frame-Options |
Web Güvenliği İçin Temel Kontrol Listesi
✅ Tüm kullanıcı girdilerini doğrula ve temizle
✅ Güçlü parola politikası ve 2FA uygula
✅ Bağımlılıkları ve kütüphaneleri güncel tut
✅ HTTP güvenlik başlıklarını aktif et
✅ Hata mesajlarında teknik detay gösterme
✅ Düzenli güvenlik taraması yap
→ Bu adımların tamamını uygulamak, sitenizi yaygın saldırıların büyük çoğunluğuna karşı korur.
Sıkça Sorulan Sorular (FAQ)
Web güvenliği sadece büyük siteler için mi?
Hayır. Küçük siteler de sıklıkla hedef alınır; saldırganlar çoğunlukla boyuta değil açığa bakar.
HTTPS yeterli koruma sağlar mı?
HTTPS veri iletimini şifreler ancak XSS veya SQL Injection gibi uygulama katmanı saldırılarına karşı tek başına yeterli değildir.
Sitemde güvenlik açığı olup olmadığını nasıl anlarım?
OWASP ZAP veya Nikto gibi ücretsiz araçlarla temel tarama yapabilirsiniz. Daha kapsamlı analiz için profesyonel penetrasyon testi önerilir.
Web güvenliği pahalı mı?
Temel önlemlerin büyük çoğunluğu ücretsizdir. Bir veri ihlalinin maliyeti ise her zaman çok daha yüksektir.
Sonuç
Web güvenliği, her web projesinin temel bir parçası olmalıdır. XSS, CSRF, SQL Injection ve Clickjacking gibi saldırılar önlenebilir; yeter ki doğru önlemler baştan alınsın.
Site Tasarım TR olarak güvenli, hızlı ve SEO dostu web uygulamaları geliştiriyoruz. Güvenli bir proje için bize ulaşın.
Diğer İçerikler
HTTPS ve SSL Nedir?
SEO Nedir?
Backlink Nedir?
Web Siteniz Google’da Görünmüyor mu?
HTML Nedir?
PWA Nedir?
Keyword Research Nedir?
React Nedir?
Nuxt.js Nedir?
CMS Nedir?
PostgreSQL Nedir?
CDN Nedir?
JavaScript Nedir?
Web3 ve Decentralized Web
Web Components Nedir?
Lazy Loading Nedir?
Vercel / Netlify Nedir?
Hosting Nedir?
AI Search Optimization (AIO) Nedir?
Web Accessibility Nedir?
Domain Nedir?
Next.js Nedir?
Astro Nedir?
URL Structure Nedir?
Mobil Uyumlu Web Sitesi Neden Zorunlu?
Web Güvenliği Nedir?
GraphQL Nedir?
Sürdürülebilir Web Tasarımı
Page Speed Optimization Nedir?
Zero-Click Searches ve Featured Snippets Nedir?
Google Analytics Nedir?
CI/CD Nedir?
WebAssembly Nedir?
Frontend vs Backend Nedir?
API Nedir?
Web Araçları
QR Kod Oluşturucu
URL, Wi-Fi, vCard, metin gibi verilerinizi saniyeler içinde özelleştirilebilir QR koda çevirin. Logo, renk ve SVG/PNG indirme desteği.
PDF Küçültücü & Sıkıştırıcı
PDF dosyalarınızı kalite kaybı minimumda %50-90 küçültün. Dosya boyutu seçimi, sayfa optimizasyonu ve tamamen tarayıcıda işlem – sunucuya yükleme yok!
Web Editor
HTML ve CSS kodlarınızı yazın, düzenleyin ve canlı önizlemeyi görün. Hızlı prototipleme ve öğrenme için ideal.
CSS Oluşturucu
CSS kodlarınızı otomatik oluşturun: gölgeler, gradyanlar ve daha fazlası.
PDF Birleştirici
Birden fazla PDF dosyasını tek bir PDF’de birleştirin. Sıra değiştirme, önizleme ve yüksek kaliteli çıktı desteği. Tarayıcıda, hızlı ve ücretsiz!
PDF Ayırıcı (Sayfa Bölme)
Tek PDF dosyasını istediğiniz sayfalara ayırın. Belirli sayfaları seçin veya aralık belirleyin, saniyeler içinde yeni PDF’ler oluşturun – tamamen tarayıcıda!
Markdown Editor
Markdown metinlerinizi yazın ve anında canlı HTML önizlemesini görün. Başlıklar, listeler, kod blokları ve daha fazlası. Tarayıcıda, hızlı ve ücretsiz!
Güçlü Şifre Oluşturucu
Anında rastgele ve çok güçlü şifreler üretin. Uzunluk, büyük/küçük harf, rakam, sembol ayarları + kendi şifrenizi test etme özelliği.
Alarm Saati & Hatırlatıcı
Tarayıcınızda saniyeler içinde alarm kurun. Sabah uyanma, toplantı hatırlatması, mola zamanı veya "yatma vakti" için ideal. Birden fazla alarm, özelleştirilebilir sesler, bildirim desteği ve kolay erteleme.
Ücretsiz Fotoğraf Düzenleyici
Tarayıcıda profesyonel fotoğraf düzenleme. Parlaklık, kontrast, doygunluk, sıcaklık, netlik, vignette ve 10+ hazır filtre ile Lightroom benzeri deneyim. Hiç indirme gerekmez, tamamen ücretsiz!