API Güvenliği: OWASP API Top 10 2026 Pratik Uygulama

Salt Labs 2025 State of API Security raporuna göre kurumsal API’lere yönelik saldırılar son 12 ayda %681 artarken, Akamai 2025 API Threat Report kurumsal saldırı yüzeyinin %46’sının doğrudan API endpoint’leri üzerinden geçtiğini ortaya koydu. Postman 2025 State of the API anketi katılımcı kuruluşların %74’ünün bir önceki yıl en az bir API kaynaklı güvenlik olayı yaşadığını, %43’ünün ise üretimdeki API envanterinin tam olarak ne kadar olduğunu bilmediğini gösteriyor. 2026 itibarıyla API güvenliği artık tek bir WAF kuralı veya gateway konfigürasyonu meselesi değil; her endpoint’in kendi authorization, rate limit, schema validation ve runtime davranış profili gerektiren çok katmanlı bir disiplin.

OWASP API Security Top 10 listesi 2023’te yayımlanan son sürümüyle endüstri standardı olarak kabul görüyor; ancak BOLA tabanlı veri sızıntıları, BOPLA kapsam istismarları, GraphQL/gRPC odaklı kaynak tüketim saldırıları ve LLM eklenti köprülerinin getirdiği yeni saldırı yüzeyi 2026’da listenin pratik yorumunu derinden değiştirdi. OWASP API project leads resmi proje sayfasında Top 10 2026 sürümünün taslak çalışmalarını sürdürürken, savunucular için bugünden uygulanabilir somut pratikler şekillenmiş durumda. Bu rehber 2023 maddelerinin her birini 2026 saldırı vektörleri ışığında ele alıyor; 5 tablo, 4 kontrol listesi ve doğrulanabilir uygulama adımlarıyla denetlenebilir bir API güvenlik programı kurmanın iskeletini sunuyor.

OWASP API Top 10 2023’ten 2026’ya Pratik Değişim Hattı

2023 listesi 2019 ilk sürümüyle karşılaştırıldığında BOLA hâlâ bir numarada, ancak Broken Object Property Level Authorization (API3) yeni bir madde olarak eklendi ve mass assignment ile excessive data exposure tek başlık altında birleşti. 2026 saha verisi listenin sıralamasını değiştirmiyor fakat Unsafe Consumption of APIs (API10) maddesini öne çıkarıyor: kuruluşlar üçüncü taraf SaaS, ödeme ve LLM API’lerini doğrulamadan tüketince zincirleme tedarik zinciri ihlali yaşıyor. Salt Labs araştırma blogu 2025’in son çeyreğinde tespit edilen kritik API olaylarının %29’unun bu kategoride yer aldığını paylaştı.

Madde	Ad	2023 Sıra	2026 Pratik Ağırlığı	Tetikleyici Trend
API1	BOLA	1	Kritik	Multi-tenant SaaS, GraphQL ID enumeration
API2	Broken Authentication	2	Yüksek	JWT alg confusion, refresh token leakage
API3	Object Property Level (BOPLA)	3	Yüksek	Mass assignment + over-fetching
API4	Unrestricted Resource Consumption	4	Kritik	LLM API call ekonomik DoS
API5	BFLA	5	Orta-Yüksek	Admin endpoint enumeration
API6	Unrestricted Business Flow	6	Kritik	Bot orchestration, scraping
API7	SSRF	7	Yüksek	Cloud metadata, internal mesh
API8	Security Misconfiguration	8	Orta-Yüksek	CORS wildcard, default headers
API9	Improper Inventory Mgmt	9	Kritik	Shadow + zombie API’ler
API10	Unsafe API Consumption	10	Yükseliyor	3rd party + LLM tedarik zinciri

Pratik öncelikleme yaparken iki sorudan başlayın: hangi maddeler kuruluşun veri sınıflandırmasında “kritik” segmente dokunuyor ve hangi maddeler regülasyon (PCI DSS 4.0, KVKK, GDPR, HIPAA, DORA) açısından dış denetim soruluyor. Bu iki çıktı kararlarınızı yönetir; tüm 10 maddeye eşit kaynak ayırmak gerçekçi değildir.

BOLA, BOPLA ve BFLA: Üç Authorization Zafiyeti Birlikte Çözülür

BOLA listenin en sık ihlal edilen maddesi olmaya devam ediyor çünkü her endpoint kendi kaynağının sahipliğini bağımsız olarak doğrulamak zorunda. Salt Labs 2025 verilerine göre tespit edilen BOLA vakalarının %73’ü “tenant_id eşleşmesi yok” temeline iniyordu; saldırgan kendisine ait token’la başkasının object_id’sini sorguluyor ve API yanıt veriyordu. BFLA (API5) ise bir aşama yukarısı: kullanıcı kendi izninin dışındaki fonksiyonu çağırıyor (DELETE /admin/users/:id gibi). BOPLA (API3) en kritik üçüncüsü: API gerçek nesneyi döndürürken yetkili olmadığı property’leri (cost_price, internal_status, pii_email) yanıta dahil ediyor veya kullanıcı PATCH ile yetkili olmadığı alanı güncelliyor.

Madde	Tipik Saldırı	Birincil Savunma	Policy Engine	Test Aracı
BOLA	ID enumeration / IDOR	Resource-level ABAC + ownership filter	OPA, Cerbos, SpiceDB	APIsec.ai, StackHawk
BFLA	Admin endpoint guessing	RBAC + path-based policy	OPA, Keycloak Authorization	OWASP ZAP, Burp
BOPLA	Mass assignment, over-fetch	DTO whitelist + response shaping	JSON Schema, Zod, Pydantic	42Crunch, Spectral

Doğru mimari yaklaşım üçünü tek katmanda çözer: policy-as-code. İş kuralı kod içinde dağılmış if/else bloklarında değil, dışsallaştırılmış bir karar noktasında (PDP) yer almalı. Açık kaynak Open Policy Agent (Rego), Cerbos (YAML/CEL) veya Google Zanzibar tabanlı AuthZed SpiceDB tercih ediliyor; Cerbos resmi dokümantasyonu tipik kurumsal entegrasyon kalıplarını ayrıntılı belgeliyor. Bu yaklaşım, BOLA için “RBAC, ABAC ve ReBAC yetkilendirme modelleri” tartışmasını kararsızlıktan kurtarır: BOLA için ReBAC, BFLA için RBAC, BOPLA için ABAC + schema kombinasyonu.

• Her query’de tenant_id ve ownership filtresini repository katmanında zorunlu kılın; bypass mümkün olmasın.
• Object-id’lerini opaque (UUIDv7 veya CUID) tutun; sıralı integer ID enumeration’a davet niteliğindedir.
• BOPLA için response shaping: API gateway veya BFF katmanında output filter; sensitive property için explicit allowlist.
• Authorization testlerini CI’a entegre edin: her PR’da en az 5 sentetik tenant ile cross-tenant erişim denemesi.
• Audit log: her authorization kararı (allow/deny + sebep) kayıt altında, SIEM’e akıyor olmalı.

Authentication Katmanı: JWT, OAuth 2.1 ve mTLS

API2 (Broken Authentication) iki katmanlı sorunu kapsar: token yönetiminin hatalı yapılandırılması ve oturum doğrulamanın eksik olması. JWT alg confusion saldırıları (none, HS256/RS256 karışıklığı) 2025’te hâlâ canlı; library zorunlu algoritma listesiyle (verify({algorithms:[‘RS256’]})) yapılandırılmalı. OAuth 2.1 ve OpenID Connect 2026 rehberinde ele alındığı üzere, refresh token rotation ve PKCE artık opsiyonel değil zorunlu pratikler. Servis-servis arası iletişim için mTLS, SPIFFE/SPIRE veya cloud provider workload identity (AWS IAM Roles for Service Accounts, GKE Workload Identity) tercih edilmeli.

Kullanım	Önerilen Mekanizma	Token Süresi	Rotation	Anti-pattern
Browser SPA	OAuth 2.1 PKCE + httpOnly cookie	15 dk access / 7 gün refresh	Her refresh’te yeni token	localStorage’da token
Mobil app	OAuth 2.1 PKCE + secure enclave	15 dk / 30 gün	Refresh rotation	Hardcoded client_secret
Servis-servis	mTLS + SPIFFE SVID	1 saat	Otomatik rotation	Statik API key
3rd party B2B	OAuth 2.1 Client Credentials	1 saat	Manuel rotation 90 gün	Long-lived bearer
Webhook	HMAC signed payload + timestamp	Stateless	Secret rotation 90 gün	İmza doğrulamadan kabul

Token storage tarafında “HashiCorp Vault ve AWS Secrets Manager rehberi” tek doğruluk kaynağı olmalı; client_secret, signing key ve database password .env dosyasında değil dinamik secret olarak yönetilmeli. Auth0, Okta veya Keycloak gibi managed çözümler authentication tarafında self-hosted yaklaşıma göre genelde daha düşük TCO sunar; ancak veri lokasyonu zorunluluğu olan kuruluşlar için Keycloak gerçekçi alternatiftir.

Rate Limit, Quota ve Unrestricted Resource Consumption

API4 (Unrestricted Resource Consumption) ve API6 (Unrestricted Business Flow) 2026’da yeni bir boyut kazandı: LLM tabanlı API’ler için ekonomik DoS. Kullanıcı başına /chat endpoint’i 1000 istek/dakika ile sınırlı görünse bile her isteğin 8K token tüketmesi aylık 20 bin USD ekstra OpenAI faturası anlamına gelebilir. Rate limit artık sadece istek sayısıyla değil, maliyet birimi (token, CPU saniyesi, depolama byte) ile uygulanmalı.

Algoritma	Doğruluk	Bellek Maliyeti	Burst Davranışı	Tipik Kullanım
Fixed Window	Düşük	Çok düşük	Window sınırında burst	Basit public endpoint
Sliding Window Log	Yüksek	Yüksek (her istek log)	Adil	Auth endpoint
Token Bucket	Yüksek	Düşük (O(1) state)	Burst dostu	Genel API gateway
Leaky Bucket	Yüksek	Düşük	Burst’u düzleştirir	Backend protection
Concurrency Limit	Yüksek	Düşük	Eşzamanlı 50 istek max	LLM, dosya işleme

Üretimde Redis tabanlı token bucket en yaygın seçim; Kong, Envoy, NGINX Plus ve Cloudflare varsayılan olarak bu yaklaşımı kullanıyor. Cloudflare API Security öğrenme merkezi rate limit ile birlikte bot detection katmanını da öneriyor; sadece IP bazlı limit, distributed bot tarafından kolayca atlanır. Tier’lı limit (auth: 5/dk, search: 60/dk, public read: 1000/dk, write: 100/dk) endpoint kategorisine göre ayrı ayrı uygulanmalı.

Schema Validation ve API Gateway Pattern

API gateway artık monolitik tek nokta değil; çok katmanlı (edge → regional → service mesh) bir mimariye evrildi. 42Crunch API Security Platform ve Wallarm gibi specialised platformlar OpenAPI 3.1 spec’inden conformance kontrolü otomatik üretir; gateway her isteği spec’e karşı doğrular, drift varsa bloklar.

Katman	Görev	Tipik Araç	Karar Süresi
Edge / CDN	WAF, bot mitigation, DDoS, geo block	Cloudflare, Akamai, AWS WAF	< 1 ms
API Gateway	Auth, rate limit, schema validation, transform	Kong, Apigee, AWS API Gateway, Tyk	1-5 ms
Service Mesh	mTLS, authorization policy, observability	Istio, Linkerd, Consul Connect	1-3 ms
Runtime API Security	Behavioral anomaly, discovery, ATO detection	Salt, Wallarm, Traceable, Noname	Async / streaming
App / Service	Business logic authorization, DTO validation	OPA sidecar, Cerbos, app code	2-10 ms

Schema validation iki yönlü çalışmalı: request payload spec’e uygun mu (extra property reddedilsin) ve response payload spec’e uygun mu (sensitive property sızıyor mu). Spectral linting ve 42Crunch audit CI’da çalışır; üretimde gateway-level enforcement zorunludur. “REST, GraphQL ve Webhook entegrasyon rehberinde” değindiğimiz üzere GraphQL için query depth ve complexity limit ek bir gereklilik; örneğin query depth 10’u geçmesin, complexity 1000 puanı aşmasın.

Improper Inventory: Shadow, Zombie ve Rogue API’ler

API9 (Improper Inventory Management) 2026’da kritik öneme yükseldi çünkü kuruluşların %43’ü kendi API envanterini tam olarak bilmiyor (Postman 2025). Üç tipik vaka var:

• Shadow API: Geliştirici ekibin envanter dışı yayımladığı, gateway arkasında olmayan endpoint (dev branch’ten prod’a sızan test endpoint’i).
• Zombie API: Bir önceki sürümden kalan, kimsenin sahip olmadığı ancak hâlâ trafik alan v1 endpoint.
• Rogue API: Üçüncü taraf veya satın alma sonrası gelen, kurumsal güvenlik kontrolüne tabi olmamış API.

API discovery için iki yaklaşım: pasif (trafik mirror, NetFlow, eBPF tabanlı Cilium Hubble) ve aktif (DNS enumeration, Shodan tarzı external scan). “Kubernetes Network Policy ve Cilium 2026” yazımızda incelediğimiz Hubble L7 telemetri, küme içinden çıkan API çağrılarını otomatik kataloglamak için ideal. Runtime API security platformları (Salt, Wallarm, Traceable, Noname) bu işi otomatik yapar; envantere giren her API SBOM benzeri bir kayda dönüşür.

Runtime API Protection: Davranışsal Anomali ve ATO Tespiti

Build-time kontroller (SAST, DAST, schema validation) bilinen kalıpları yakalar ama zero-day ve davranışsal saldırıları kaçırır. Runtime API security platformları trafik akışını sürekli analiz eder, kullanıcı başına bir davranış profili (baseline) çıkarır ve sapmayı (4σ üzeri istek sayısı, beklenmedik endpoint sırası, anormal data egress) alarm üretir. Akamai Security Research 2025 raporuna göre runtime tespit, statik kurallara dayalı WAF’a göre ATO (account takeover) ve credential stuffing’i ortalama 14 dakikada (statikte 6 saat) tespit ediyor.

Platform	Güçlü Yön	Deploy Modeli	Yaklaşık Yıllık Lisans
Salt Security	ML tabanlı behavioral, geniş entegrasyon	SaaS + traffic mirror	120-220K USD
Wallarm	API protection + WAAP, OWASP coverage	SaaS / self-hosted	80-160K USD
Traceable AI	Distributed tracing tabanlı analiz	SaaS + eBPF agent	100-180K USD
Noname Security	Discovery + posture management	SaaS / on-prem	90-170K USD
42Crunch	Shift-left audit + gateway enforcement	CI plugin + agent	40-120K USD

Runtime platform seçiminde dikkat edilecek üç kriter: discovery doğruluğu (false positive < %5), entegrasyon (mevcut SIEM + SOAR ile native), ve TCO (lisans + traffic + on-call). "Penetration testing rehberinde” değindiğimiz gibi runtime detection’ı pentest’in yerine değil tamamlayıcısı olarak konumlandırın.

Shift-Left CI/CD Entegrasyonu ve DAST/IAST

“DevSecOps shift-left rehberinde” detaylandırdığımız üzere üretim aşamasında bulunan bir açığın düzeltme maliyeti, kod review aşamasındakine göre 60-100 kat yüksek. API güvenliği için CI pipeline’a entegre edilmesi gereken minimum katmanlar:

• OpenAPI spec lint: Spectral kuralları (auth tanımı zorunlu, response schema zorunlu, sensitive field flag, deprecated endpoint uyarısı).
• SAST: Semgrep custom rule pack BOLA, hardcoded secret, alg=none JWT, eval kullanımı tarar.
• SCA + SBOM: CycloneDX SBOM her sürüm artifact’ıyla, Snyk/Trivy bilinen CVE’leri eşleştirir.
• DAST: StackHawk, OWASP ZAP veya APIsec.ai her PR’da staging API’ye karşı koşar; severity’e göre block-or-warn.
• IAST: Contrast Security veya Seeker gibi agent’lar runtime instrument; test sırasında veri akışını izler.

Postman 2025 State of the API raporu CI/CD’ye entegre güvenlik kontrolü olan ekiplerin ortalama düzeltme süresinin 11 gün, olmayanların 87 gün olduğunu paylaştı; yatırım geri dönüşü açık. “OWASP Top 10 2026 web güvenlik rehberi” web tarafı için aynı disiplini ele alır; API ve web ekipleri ortak güvenlik mühendislik standardı kurmalı.

Maliyet, ROI ve Olgunluk Modeli

IBM Cost of a Data Breach 2025 raporu API kaynaklı bir veri sızıntısının ortalama maliyetini 4.88 milyon USD olarak veriyor; sektör ortalamasından %22 daha yüksek. Yapay zeka destekli runtime savunma sistemleri yıllık 80-220 bin USD aralığında lisans isterken, manuel pen-test bütçesi 25-60 bin USD’de kalıyor. Hibrit yaklaşım (gateway + WAF + runtime detection + shift-left CI) yatırım maliyetini geri kazanmanın ortalama süresini 14 aya indiriyor.

• L0 – Reaktif: Sadece WAF + manuel pen-test. Tek sızıntı tüm bütçeyi yer.
• L1 – Yapılandırılmış: API gateway + schema validation + yılda 2 pen-test.
• L2 – Otomasyona giden: CI’da SAST/DAST + OPA tabanlı policy + bot mitigation.
• L3 – Programatik: Runtime API security + OPA fleet + tier’lı SLA’lar + dedicated AppSec ekibi.
• L4 – Adaptive: ML tabanlı anomaly + otomatik bulgudan PR’a geri besleme + threat hunting.

“Zero Trust mimari rehberinde” açıkladığımız “asla güvenme, daima doğrula” ilkesi API güvenliğinin omurgasıdır; her istek için kimlik + bağlam + politika değerlendirmesi yapılmalı. GraphQL ve gRPC için OWASP API Top 10 maddeleri olduğu gibi geçerli ama tespit araçları REST kadar olgun değil; GraphQL için Apollo Router’ın güvenlik plugin’leri ve gRPC için Envoy’un native extension’ları öne çıkıyor.

Sık Sorulan Sorular

Sonuç: API Güvenlik Olgunluk Karnesi

API güvenliği 2026’da tek katmanlı kontrolle çözülmüyor; gateway, WAF, schema validation, runtime behavioral detection, policy-as-code ve CI/CD shift-left disiplini birlikte örülmesi gereken bir mühendislik programı. OWASP API Top 10 listesi başlangıç çerçevesi; gerçek koruma her endpoint’in bağımsız politika sahibi olduğu, kendi rate limit + ownership filter + schema enforcement zincirini taşıdığı mimari ile sağlanır. API maturity verdict: hâlâ L0-L1 seviyesindeki ekipler için en yüksek ROI noktası gateway-level schema enforcement ve BOLA odaklı policy engine entegrasyonudur; L2+ ekipler için odak runtime API security platform ve unified policy fleet’idir. Disiplinli yatırım, 4.88 milyon USD ortalama sızıntı maliyetini önler ve kurumsal müşteri kapısını açacak SOC 2, ISO 27001, PCI DSS 4.0 denetim yükünü 14 aya kadar amorti eder.