Açık Web Uygulama Güvenliği Projesi (OWASP), amiral gemisi olan OWASP Top 10 2025’in 2025 sürümünü açıkladı; bu sürüm, sekizinci taksit oluyor ve gelişen yazılım güvenliği tehditlerine yönelik önemli güncellemeler sunuyor.
6 Kasım 2025’te yayınlanan bu gözden geçirilmiş sürüm, topluluk anketi girdilerini ve genişletilmiş veri analizini bir araya getirerek iki yeni kategoriyi vurgularken diğerlerini semptomlardan ziyade temel nedenleri daha iyi yansıtacak şekilde birleştiriyor.
Liste, geliştiriciler, güvenlik uzmanları ve web uygulaması risklerini önceliklendirmeyi amaçlayan kuruluşlar için kritik bir kaynak olmaya devam ediyor.
OWASP İlk 10 2025 Önemli Değişiklik
2025 İlk 10’da iki yeni giriş yer alıyor: A03:2025 – Yazılım Tedarik Zinciri Arızaları ve A10:2025 – İstisnai Koşulların Yanlış Yönetilmesi.
İlki, bağımlılıklar, yapı sistemleri ve dağıtım altyapısı gibi daha geniş ekosistem risklerini kapsayacak şekilde 2021’in Savunmasız ve Güncel Olmayan Bileşenlerini genişletiyor.
Beş Ortak Zayıflık Sayımı (CWE) içeren bu kategori, sınırlı test verilerine rağmen topluluğun endişelerinin en üst sıralarında yer aldı ve CVE’lerden kaynaklanan yüksek istismar ve etki potansiyelinin altını çizdi.
A10:2025, hatalı hata yönetimi, mantıksal kusurlar ve anormal koşullar sırasında arızanın açılması gibi güvenli olmayan arıza durumlarına odaklanan 24 CWE’yi tanıtıyor.
Daha önce “düşük kod kalitesi” başlığı altında dağıtılan bu kategori, yanlış yönetilen istisnaların hassas verileri nasıl açığa çıkarabileceğini veya hizmet reddi saldırılarına nasıl olanak sağlayabileceğini ele alıyor.
Bu arada, A01:2021 – Sunucu Tarafı İstek Sahteciliği (SSRF), test edilen uygulamaların ortalama %3,73’ünü etkileyen 40 CWE ile en üst sıradaki yerini koruyan A01:2025 – Bozuk Erişim Kontrolü ile birleştirildi.
Diğer değişiklikler arasında, artan yapılandırma karmaşıklıkları nedeniyle uygulamaların %3,00’ünü etkileyen A02:2025 – Yanlış Güvenlik Yapılandırması ikinci sıraya yükseldi (2021’de beşinciden).
A04:2025 – Şifreleme Hataları dördüncü sıraya gerilerken, A05:2025 – Enjeksiyon ve A06:2025 – Güvenli Olmayan Tasarım ikişer sıra geriledi. Kimlik Doğrulama Hataları (A07), hassasiyet için bir ad değişikliğine tanık oldu ve Günlüğe Kaydetme ve Uyarı Hataları (A09), yalnızca izleme yerine eyleme geçirilebilir uyarıları vurguladı.
| Rütbe | Kategori Kodu | İsim | Özet | 2021’den itibaren değişiklik |
|---|---|---|---|---|
| 1 | A01:2025 | Bozuk Erişim Kontrolü | Saldırganların yetkilendirmeyi atlamasına veya verilere veya işlevlere yetkisiz erişim elde etmesine olanak tanıyan kusurlar. Test edilen uygulamaların ortalama %3,73’ünü etkileyen 40 CWE içerir. | 1 numarayı korur; SSRF (A10:2021) bu kategoride birleştirildi. |
| 2 | A02:2025 | Güvenlik Yanlış Yapılandırması | Ortamlar arasında zayıf varsayılan ayarlar, açığa çıkan hizmetler veya tutarsız güvenlik kontrolleri. Uygulamaların %3,00’ini etkiler. | Artan yapılandırma karmaşıklığı nedeniyle #5’ten yukarıya taşındı. |
| 3 | A03:2025 | Yazılım Tedarik Zinciri Arızaları | Bağımlılıklardaki, CI/CD sistemlerinde, derleme süreçlerinde ve dağıtım altyapısındaki güvenlik açıkları. Yüksek yararlanma puanlarına sahip 5 CWE’yi kapsar. | Yeni; A06:2021 Savunmasız ve Güncel Olmayan Bileşenler’i genişletiyor. |
| 4 | A04:2025 | Şifreleme Hataları | Hassas verilerin açığa çıkmasına veya sistem güvenliğinin ihlal edilmesine yol açan güvenli olmayan veya güncel olmayan şifreleme uygulamaları. Uygulamaların %3,80’ini etkileyen 32 CWE içerir. | 2. sıradan düştü. |
| 5 | A05:2025 | Enjeksiyon | SQL, OS komutu veya XSS enjeksiyonları gibi giriş doğrulama kusurları. 38 CWE ve çok sayıda CVE ile ilişkilidir. | 3. sıradan düştü. |
| 6 | A06:2025 | Güvensiz Tasarım | Tasarım sırasında kötü mimari kararlardan veya yetersiz tehdit modellemesinden kaynaklanan riskler. | # 4’ten düştü; Güvenli tasarımda sektördeki gelişmeleri gösterir. |
| 7 | A07:2025 | Kimlik Doğrulama Hataları | Yetkisiz erişime olanak tanıyan oturum açma, parola politikaları veya oturum yönetimiyle ilgili sorunlar. 36 CWE’yi kapsar. | # 7’yi korur; Tanımlama ve Kimlik Doğrulama Hataları olarak yeniden adlandırıldı. |
| 8 | A08: 2025 | Yazılım veya Veri Bütünlüğü Arızaları | Yazılımın, kodun veya verilerin bütünlüğünün doğrulanamaması, kurcalamaya izin verilmesi. Daha düşük seviyeli güven sınırlarına odaklanır. | # 8’i korur; Bütünlük doğrulamaya küçük bir odaklanma. |
| 9 | A09:2025 | Arızaların Günlüğe Kaydedilmesi ve Uyarılması | Saldırıların tespit edilmemesine neden olan izleme, günlüğe kaydetme veya uyarı vermedeki boşluklar. | # 9’u korur; Yalnızca günlüğe kaydetme yerine uyarıyı vurgulamak için yeniden adlandırıldı. |
| 10 | A10:2025 | İstisnai Durumların Yanlış Yönetilmesi | Verileri açığa çıkaran veya DoS’a neden olan hatalı hata işleme, mantıksal kusurlar veya güvenli olmayan hata durumları. 24 CWE içerir. | Yeni kategori; daha önce düşük kod kalitesi altındaydı. |
Görsel bir haritalama diyagramı, SSRF ve Savunmasız Bileşenler gibi 2021 kategorilerinden 2025 benzerlerine kadar uzanan okları ve dallara ayrılan yeni eklemeleri gösteren bu gelişmeleri göstermektedir.
OWASP İlk 10 2025 Sınıflandırma Metodolojisi
OWASP’ın yaklaşımı, 643 CWE ile eşlenen 175.000’den fazla CVE’den elde edilen verileri harmanlayarak yaygınlığa sıklığa öncelik verir ve CWE başına en az bir örnek içeren uygulamalara odaklanır.
Bu baskı, dile özgü eğitime yardımcı olmak amacıyla kategoriler genelinde 589 CWE’yi analiz etti; her biri ortalama 25, pratiklik açısından 40 ile sınırlandırıldı. Topluluk anketleri, yeterince temsil edilmeyen risklerin görünürlüğünü artırdı ve geçmiş veriler ile uygulayıcıların ön saflardaki öngörülerini dengeledi.
CVSS v2, v3 ve v4’ten alınan yararlanılabilirlik ve etki puanları, yeni sürümlerde daha yüksek etki ağırlığı gibi değişiklikleri ortaya koyuyor. Sonuç: Modern, bulut tabanlı ortamlardaki sistemik güvenlik açıklarını vurgulayan ileriye dönük bir liste.
Bu güncelleme, Güvensiz Tasarım slaytında açıkça görülen tehdit modelleme gibi alanlardaki iyileştirmelerle olgunlaşan bir alanın sinyalini veriyor.
10 güvenlik testinden 9’unda bulunan erişim kontrolü sorunları gibi zorluklar hâlâ yakından ilgilenilmesini gerektiriyor. Kuruluşlar bunları DevSecOps süreçlerine dahil etmeli, tedarik zinciri kontrollerine ve güçlü hata yönetimine öncelik vermelidir.
OWASP, 20 Kasım 2025’e kadar geri bildirimleri memnuniyetle karşılayacağından, son sürümün 2026’da tam olarak benimsenmeden önce daha da geliştirilmesi bekleniyor.
Bu İlk 10 listesi yalnızca iyileştirme için rehberlik sağlamakla kalmıyor, aynı zamanda tasarım gereği güvenlik ilkelerini de destekleyerek kuruluşların giderek daha karmaşık hale gelen tehdit ortamında gezinmesine yardımcı oluyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
