- SQL Injection’a Karşı: Parametreli sorgular (ORM kullanımı) ve input sanitization.
- XSS’e Karşı: Çıktı kodlama (HTML, JavaScript) ve CSP (Content Security Policy) header’ları.
- Güçlü Şifre Politikaları: Minimum 12 karakter, karmaşık karakterler.
- MFA (Multi-Factor Authentication): Google Authenticator veya SMS tabanlı doğrulama.
- Oturum Token’ları: Rastgele üretilen, kısa ömürlü token’lar. Cookie’lere
HttpOnlyveSecureflag’leri ekleme.
- Least Privilege İlkesi: Kullanıcıların yalnızca ihtiyaç duydukları kaynaklara erişimi.
- RBAC (Role-Based Access Control): Admin, user, guest gibi rollerle yetki sınırlandırma.
- Şifreleme: TLS 1.3 ile veri iletimi, veritabanında AES-256 gibi algoritmalar.
- Sensitive Data Masking: Loglarda kredi kartı bilgisi göstermeme.
- Gereksiz Servisleri Kapatma: Kullanılmayan portları kapat, varsayılan hesapları sil.
- Güncellemeler: OS, framework ve kütüphaneleri düzenli güncelle (örn. Log4j).
- Rate Limiting: API’ları brute force’a karşı koruma.
- OAuth 2.0/OpenID Connect: Token tabanlı yetkilendirme.
- SIEM Araçları: Anormal aktiviteleri (örn. 10 dakikada 100 başarısız giriş) tespit etme.
- Audit Log’ları: Kimin, ne zaman, ne yaptığını kaydetme.
- Pentest ve Sızma Testleri: OWASP ZAP veya Burp Suite ile düzenli testler.
- WAF (Web Application Firewall): ModSecurity gibi araçlarla SQLi/XSS filtreleme.