Modern uygulamalar API'ler üzerine kurulu. Mobil uygulamalar, web siteleri, IoT cihazları ve üçüncü parti entegrasyonlar hep API'ler üzerinden iletişim kuruyor. Bu durum API güvenliğini kritik hale getiriyor.
En Yaygın API Güvenlik Açıkları
1. Broken Object Level Authorization (BOLA)
OWASP API Security Top 10'un birincisi. Kullanıcıların yetkili olmadıkları verilere erişebilmesi. Her endpoint'te yetki kontrolü şart.
2. Broken Authentication
Zayıf token yönetimi, güvensiz şifre politikaları, oturum yönetimi hataları.
3. Excessive Data Exposure
API'nin gereğinden fazla veri döndürmesi. Client-side filtrelemeye güvenmek tehlikeli.
4. Rate Limiting Eksikliği
Brute-force ve DoS saldırılarına açık kapı.
Kimlik Doğrulama Yöntemleri
- OAuth 2.0: Üçüncü parti uygulamalar için standart. Access token ve refresh token yönetimi.
- JWT (JSON Web Tokens): Stateless authentication. Token'da payload taşınabilir.
- API Keys: Basit ama sınırlı. Public API'ler için uygun.
- mTLS: Mutual TLS. Yüksek güvenlik gereken senaryolar için.
Güvenlik En İyi Pratikleri
// Rate limiting örneği
app.use(rateLimit({
windowMs: 15 * 60 * 1000, // 15 dakika
max: 100 // IP başına 100 istek
}));- Input Validation: Tüm girdileri doğrulayın ve sanitize edin
- HTTPS Zorunluluğu: Tüm API trafiği şifreli olmalı
- Logging & Monitoring: Anormal aktiviteleri tespit edin
- Versiyonlama: API versiyonları arasında güvenli geçiş
- CORS Politikaları: İzin verilen origin'leri kısıtlayın
GraphQL Özel Güvenlik Konuları
- Query Depth Limiting: Derin sorguları engelleyin
- Query Complexity Analysis: Karmaşık sorguları reddedin
- Introspection Kontrolü: Production'da kapatmayı düşünün
"API saldırıları, 2023'te toplam web saldırılarının %35'ini oluşturdu."
Ininia API Geliştirme Hizmetleri
ISO 27001 standartlarına uygun, güvenli API tasarımı ve geliştirme hizmetleri sunuyoruz. PCI-DSS uyumlu ödeme entegrasyonları deneyimimiz mevcut.
