Web Güvenliği: OWASP Top 10 ve Next.js Savunmaları
Tunahan İpek · Yönetici
Bu rehberde ne öğreneceksiniz?
Bu yazı bir haber özeti değil; adım adım uygulayabileceğiniz bir öğretici makale (tutorial) formatındadır. Her bölümün sonunda pratik çıkarımlar ve üretim ortamında karşılaşacağınız senaryolar yer alır.
- OWASP Top 10 risklerini tanımak
- XSS ve injection'a karşı somut önlem almak
- Auth ve session hatalarını önlemek
- Güvenlik checklist'ini CI'a entegre etmek
Ön koşullar
Rehberi verimli takip etmek için aşağıdaki bilgilere aşina olmanız önerilir. Eksik hissettiğiniz konularda ilgili bölümde ek kaynak ipuçları bulacaksınız.
- HTTP ve cookie temelleri
- React ve form handling
- Auth flow farkındalığı
Güncellik ve teknoloji yığını
Makale 2026 itibarıyla güncellenmiştir. Örnekler ve API referansları şu yığınla uyumludur: OWASP Top 10 (2025), Next.js 16, DOMPurify 3.x, next-auth 5, Prisma 7. Eski sürüm dokümantasyonu ile karıştırmamak için major versiyon farklarını özellikle belirttik.
Framework sürümleri hızla değişir; kalıcı olan prensipler (güvenlik, katman ayrımı, ölçüm) bu rehberin omurgasını oluşturur.
Bölüm 1: XSS
Stored XSS: kötü niyetli blog içeriği. DOMPurify ile sanitize; CSP ile ek katman.
Adım adım uygulama
Aşağıdaki sırayı takip edin. Her adımı tamamlamadan bir sonrakine geçmeyin; özellikle güvenlik ve veri katmanı adımları atlanmamalıdır.
- Tüm rich text giriş/çıkışında sanitize.
- CSP header'ı nonce veya strict policy ile deneyin.
- Kullanıcı HTML upload'ını kısıtlayın.
import { sanitizeHtml } from '@/lib/sanitize';
// dangerouslySetInnerHTML yalnızca sanitize sonrası
<div dangerouslySetInnerHTML={{ __html: sanitizeHtml(content) }} />Bölüm 2: Injection ve auth
Prisma parametreli sorgu. Raw SQL'de placeholder. Broken access control: her mutation'da session + role.
- IDOR: başkasının blog'unu PATCH etmeyi test edin
- Rate limit login ve yorum
- Dependency audit CI'da
Bölüm 3: Security headers
X-Frame-Options, HSTS, Referrer-Policy. next.config headers veya middleware.
Derinlemesine: Senaryo çalışması
Gerçek bir ekip senaryosu: Cuma akşamı deploy sonrası hata oranı yükseldi. Aşağıdaki kontrol listesi ile kök nedeni daraltın.
Son deploy diff'ine bakın: şema migration, env değişikliği, feature flag açılışı.
Trace id ile tek bir başarısız isteği uçtan uca izleyin (edge → server → DB).
Gerekirse kill switch veya önceki imaja rollback; veri migration geri alınamazsa kod rollback yeterli olmayabilir.
Adım adım uygulama
Aşağıdaki sırayı takip edin. Her adımı tamamlamadan bir sonrakine geçmeyin; özellikle güvenlik ve veri katmanı adımları atlanmamalıdır.
- Metrik panosunda hata oranı ve p95 latency
- Log'da son 15 dakika exception grupları
- Son başarılı deploy tag'ine dönüş kararı
Production checklist
Canlıya çıkmadan önce bu maddeleri review edin.
Production ortamında üretim ortamı ile ilgili en sık görülen sorun, geliştirme ortamındaki varsayımların (küçük veri seti, tek kullanıcı, sıcak cache) canlı trafikte çökmemesidir. Bu yüzden her değişiklikten önce yük testi veya en azından p95 latency ölçümü yapın.
Structured logging (request id, route, süre, kullanıcı id’si — PII olmadan) ve hata oranı alarmları, sorunları kullanıcı şikayetinden önce yakalamanızı sağlar. Log’da stack trace tutun; kullanıcıya generic mesaj gösterin.
Dokümantasyonu kod ile birlikte güncelleyin: README, ADR (Architecture Decision Record) veya ekip wiki’sinde “neden bu kararı aldık?” sorusunun cevabı gelecekteki sizin en büyük yardımcınızdır.
- Rate limit ve timeout tanımlı
- Secret'lar secret manager'da
- Health check ve readiness probe çalışıyor
- Alarm eşikleri tanımlı (5xx, latency)
Sık yapılan hatalar
Aşağıdaki tuzaklar eğitim ortamlarında nadiren, production'da ise pahalıya mal olur. Code review checklist'inize eklemenizi öneririz.
- Client-side only authorization
- Sanitize etmeden innerHTML
- Verbose error stack client'a
Pratik alıştırmalar
Okumak yeterli değildir; öğrenmeyi pekiştirmek için küçük bir side-project veya mevcut kod tabanınızda şu görevleri uygulayın:
- XSS payload ile yorum alanını test edin (staging)
- Moderator olmayan kullanıcı ile admin API 403 doğrulayın
Özet ve sonraki adımlar
Bu rehberdeki prensipleri tek seferde tüm projeye uygulamaya çalışmayın. Önce tek bir route veya modül seçin, ölçün, sonra yaygınlaştırın.
- OWASP ASVS checklist
- Penetrasyon testi planı