Yaygın güvenlik saldırı türleri nelerdir?

Question

Accepted Answer

Yaygın **saldırı türlerini** anlamak — saldırganların sistemleri nasıl tehlikeye düşürmeye çalıştığını — bunlara karşı savunmak için temeldir. Ana kategoriler arasında injection, XSS, CSRF, brute force, sosyal mühendislik, DDoS ve daha fazlası yer almaktadır.

## Web uygulaması saldırıları

```text
INJECTION (SQL, command, etc.) → inject malicious code via input (manipulate queries/commands)
XSS (Cross-Site Scripting) → inject scripts that run in victims' browsers
CSRF (Cross-Site Request Forgery) → trick a logged-in user's browser into making unwanted
  requests (perform actions as them without consent)
BROKEN ACCESS CONTROL → access/modify what you're not authorized to (e.g. IDOR)
SSRF → trick the server into making requests it shouldn't
```

## Kimlik doğrulama / erişim saldırıları

```text
BRUTE FORCE → try many passwords/keys until one works (rate-limit, lock out, MFA)
CREDENTIAL STUFFING → use leaked username/password pairs from other breaches
SESSION HIJACKING → steal session tokens/cookies to impersonate a user
PHISHING / SOCIAL ENGINEERING → trick people into revealing credentials/info (the human
  is often the weakest link)
```

## Diğer saldırılar

```text
DDoS (Distributed Denial of Service) → flood a system to make it unavailable
MAN-IN-THE-MIDDLE (MITM) → intercept communication (HTTPS prevents this)
MALWARE / ransomware; SUPPLY CHAIN attacks (compromise dependencies/build tools)
ZERO-DAY → exploit unknown/unpatched vulnerabilities
```

## Neden önemli

Yaygın güvenlik saldırı türlerini anlamak temeldir çünkü **anlamadığınız tehditlere karşı savunma yapamazsınız**, bu nedenle saldırganların nasıl çalıştığını bilmek güvenli sistemler oluşturmak için gereklidir ve bu önemli güvenlik bilgisidir.

Saldırı türlerine yönelik farkındalık — saldırganların sistemleri nasıl tehlikeye düşürmeye çalıştığı — savunmanın temelini oluşturur, çünkü her saldırı türünün karşılık gelen savunmaları vardır ve tehditleri anlamak koruyucu önlemleri motive eder ve yönlendirir.

**Web uygulaması saldırılarını** anlamak — **injection** (giriş aracılığıyla sorguları/komutları manipüle etme), **XSS** (betiklerin kurbanların tarayıcılarında çalışması), **CSRF** (oturum açmış bir kullanıcının tarayıcısını istenmeyen istekler yapmaya ikna etme), **broken access control** (yetkisiz kaynaklara erişme) ve **SSRF** — geliştiricilerin korunması gereken en yaygın uygulama düzeyindeki tehditleri kapsar.

**Kimlik doğrulama/erişim saldırılarını** anlamak — **brute force** (birçok şifreyi deneme, rate-limiting ve MFA ile karşılanır), **credential stuffing** (sızdırılmış kimlik bilgilerini kullanma), **session hijacking** (token'ları çalma) ve **phishing/sosyal mühendislik** (insanları kandırma, insan genellikle en zayıf halka olduğundan) — saldırganların erişimi nasıl hedeflediğini kapsar.

**Diğer saldırıları** anlamak — **DDoS** (kullanılamama sağlamak için taşkın), **man-in-the-middle** (iletişimi yakalama, HTTPS tarafından önlenir), malware, **supply chain attacks** (bağımlılıkları tehlikeye düşürme — giderek daha önemli) ve zero-days — tehdit ortamı hakkında farkındalığı genişletir.

Bu saldırı türlerini bilmek, geliştiricilerin tehditleri tanımasına, belirli savunmaların neden var olduğunu anlamasına (injection'a karşı parametreli sorgular, XSS'e karşı kaçış, brute force'a karşı MFA, MITM'e karşı HTTPS) ve uygun korumalar oluşturmasına olanak tanır.

Tehditlere karşı savunmak onları anlamayı gerektirdiğinden ve her yaygın saldırı türünün karşılık gelen savunmaları olduğundan ve temel saldırılara (injection, XSS, CSRF, brute force, phishing, DDoS, supply chain) yönelik farkındalık güvenli sistemler oluşturmak için temel olduğundan, yaygın güvenlik saldırılarını anlamak temeldir, gerekli güvenlik bilgisidir — tüm savunmacı güvenliğin altında yatan tehdit farkındalığı, tehditleri tanımak ve güvenlik önlemleri neden var olduğunu anlamak için gereklidir ve yazılımın karşı durması gereken sabit, değişken saldırılarına karşı bir temeldir.