1. XSS (Cross-Site Scripting)

Açıklama: Zararlı JavaScript kodları kullanıcı tarayıcısında çalıştırılır.

Amaç: Oturum çalma, kullanıcıya sahte arayüz gösterme, veri gönderme vb.

<script>alert('XSS!')</script>

2. SQL Injection (SQLi)

Açıklama: Kullanıcı girişleriyle SQL sorgularına müdahale edilir.

Amaç: Veritabanı sızdırma, veri silme, admin girişi sağlama.

' OR 1=1; --

3. CSRF (Cross-Site Request Forgery)

Açıklama: Kullanıcının oturumunu kullanarak onun adına istek gönderilir.

Koruma: CSRF token’ları, aynı-origin policy.

4. Command Injection

Açıklama: Sunucuda işletim sistemi komutları çalıştırılır.

Amaç: Sistemi ele geçirme, dosya okuma, arka kapı yerleştirme.

; rm -rf /

5. File Inclusion (LFI / RFI)

LFI: Local File Inclusion – Sunucudaki dosyalar çağrılır.

RFI: Remote File Inclusion – Uzaktaki zararlı dosyalar çalıştırılır.

6. Directory Traversal

Açıklama: Dosya sisteminde yukarı dizinlere erişerek hassas dosyalara ulaşma.

../../../../etc/passwd

7. Clickjacking

Açıklama: Kullanıcı, farkında olmadan zararlı butonlara tıklamaya yönlendirilir.

Amaç: Yetkili işlemleri gizlice yaptırma.

8. Session Hijacking

Açıklama: Oturum çerezi ele geçirilerek kullanıcının hesabı ele geçirilir.

9. Session Fixation

Açıklama: Kullanıcıya önceden belirlenmiş bir oturum ID’si atanır ve bu ID üzerinden oturum ele geçirilir.

10. Brute Force & Dictionary Attacks

Açıklama: Şifreleri rastgele veya sözlükle deneyerek tahmin etme saldırısı.

Önlem: Captcha, 2FA, rate-limiting.

11. Man-in-the-Middle (MitM)

Açıklama: İki taraf arasındaki veri iletişimini dinleme veya değiştirme.

12. Credential Stuffing

Açıklama: Ele geçirilmiş kullanıcı adı/şifre kombinasyonlarını başka sitelerde deneme.

13. DoS / DDoS (Denial of Service)

Açıklama: Aşırı istek göndererek sistemi çökertme veya yavaşlatma.

14. Phishing (Oltalama)

Açıklama: Sahte arayüzlerle kullanıcıdan bilgi çalma.

15. XML External Entity (XXE)

Açıklama: XML parser’lar üzerinden dış kaynaklara erişim sağlanması.

16. Insecure Deserialization

Açıklama: Kötü niyetli olarak değiştirilmiş serileştirilmiş verilerin sunucuda çalıştırılması.

17. Broken Access Control

Açıklama: Kullanıcıların yetkileri dışında işlemler yapabilmesi.

18. Security Misconfiguration

Açıklama: Hatalı yapılandırmalar sonucu oluşan açıklar.

Örnek: Varsayılan admin şifresi, açık debug ekranları.

19. Unvalidated Redirects and Forwards

Açıklama: Kullanıcının yönlendirildiği hedef adres kontrol edilmezse zararlı sitelere yönlendirme yapılabilir.

20. Zero-Day Exploits

Açıklama: Daha önce bilinmeyen ve henüz yamalanmamış güvenlik açıkları.

Tehlike: Tüm sistem savunmasız kalabilir.