Back to Research
AppSec

WAF (Web Application Firewall) Bizi Hacklenmekten Neden Tek Başına Korumaz?

Eresus Security Research TeamAuthor
March 31, 2026
4 min read

WAF (Web Application Firewall) Bizi Hacklenmekten Neden Tek Başına Korumaz?

Birçok kurum, on binlerce dolar harcayarak Cloudflare, F5, Imperva veya AWS WAF (Web Application Firewall) kurduğunda siber korsanlara karşı tamamen güvende olduğunu düşünür. IT yöneticileri sıklıkla şu yanılgıya düşer: "Önümüzde dev bir ateş duvarı var, sızma testi yaptırmamıza gerek kalmadı."

Kısa Cevap: WAF, dijital şirketinizin kapısındaki bir metal dedektörüdür. İçeriye SQL Injection (' OR 1=1 --) veya XSS gibi bariz, imzası bilinen bir saldırı silahı sokmaya çalışırsanız WAF sizi anında yakalar ve engeller. Ancak WAF, "İş Mantığı Hatalarına" (Business Logic Flaws) karşı tamamen kördür. Yetkisi olmayan bir kullanıcının sepetindeki ürünün fiyatını eksiye (-500 TL) düşürmesi veya başkasının faturasını manipüle etmesi WAF için normal bir ağ trafiğidir. WAF'ı aşan bu görünmez zafiyetleri yalnızca insan zekasına veya gelişmiş AI modellerine dayalı Manuel Sızma Testleri (Pentest) tespit edebilir.

Bu makalede WAF'ın asıl görevini, nerede çaresiz kaldığını ve WAF bypass yöntemlerinin neden düzenli olarak denetlenmesi gerektiğini inceleyeceğiz.

1. WAF Aslında Nasıl Çalışır?

Web Application Firewall, sunucunuz ile kullanıcı arasına girerek gelen giden HTTP/HTTPS trafiğini izleyen bir kalkandır. Temel olarak şu yöntemlerle çalışır:

  • İmza Tabanlı Koruma: Gelen istekte bilinen bir saldırı kelimesi (UNION SELECT, <script>alert(1)</script>) varsa engeller.
  • Rate Limiting: Aynı IP'den saniyede binlerce istek gelirse (DDoS veya Brute Force) engeller.
  • IP Reputasyonu: Saldırgan olduğu bilinen, kara listeye alınmış ülkelerden veya Tor ağlarından gelen trafiği otomatik bloklar.

Bunlar yapısal güvenlik (structural security) için mükemmeldir. Yeni bir zafiyet (örneğin Log4j) çıktığında, WAF kuralına eklenen tek bir satır şirketinizi anında koruyabilir.

Uzman Görüşü: "WAF kullanmak siber güvenlikte lüks değil, zorunlu bir asgari standarttır. Ancak WAF'ı kurup 'tamamen güvendeyiz' demek, evinizin kapısına çelik kapı taktırdıktan sonra pencereleri sonuna kadar açık bırakmaya benzer."

2. WAF Neden İş Mantığı (Business Logic) Hatalarını Yakalayamaz?

Ateş duvarları sistemin nasıl çalıştığını göremez, sadece gelen paketi okur. Siber korsanlar (ve sızma testi uzmanlarımız) WAF'ları atlatmak için kaba kuvvet yerine zekayı kullanırlar.

Örnek 1: E-Ticaret Sepet Manipülasyonu

Normal bir kullanıcı sepete 1 adet Apple MacBook ekler. Bir siber saldırgan API üzerinden sepete -1 adet MacBook ekler. Web sitesi altyapısı düzgün yapılandırılmamışsa, kullanıcının bakiyesine MacBook'un fiyatı kadar para eklenir. WAF bunu durdurur mu? Hayır. Çünkü WAF'a göre -1 sadece bir rakamdır, saldırı kodu değil.

Örnek 2: IDOR (Insecure Direct Object Reference)

Sisteme giriş yapan bir kullanıcı (ID: 105), kendi faturasını website.com/api/invoice/105 adresinden çeker. Ancak kullanıcı URL'deki 105 rakamını 106 yaparak başkasının faturasına erişmeyi denerse ve başarılı olursa, bu bir IDOR zafiyetidir. WAF bunu durdurur mu? Hayır. Çünkü gelen HTTP GET isteği kusursuz derecede tehlikesiz ve yasal bir istektir.

3. WAF Bypass: Siber Korsanlar WAF'ları Nasıl Atlatır?

Bir sistemin kalkanı varsa, okçu o kalkanın çevresinden dolaşmasını öğrenir. Gelişmiş sızma testlerinde Eresus Security uzmanlarının (ve gerçek hackerların) başvurduğu bazı WAF atlatma senaryoları:

  1. Origin IP Zafiyeti: Hedef şirketin sadece WAF'ı (örneğin Cloudflare arkasında) güvenlidir, ancak asıl sunucusunun (Origin Server) IP adresi sızdırılmıştır. Saldırgan trafiği WAF'a değil, direkt ana sunucuya göndererek tüm korumayı bypass eder.
  2. Encoding ve Obfuscation Uygulamaları: Güvenlik duvarı SELECT kelimesini engeller. Saldırgan aynı kelimeyi S%45L%45C%54 şeklinde manipüle ederek veya karakterleri bölerek (SEL+ECT) kalkanın içinden geçirir, uygulama bu parçaları içeride birleştirip çalıştırır.
  3. API Gateway Körlüğü: Şirket mobil uygulamaları, WAF kurallarından hariç tutulan farklı bir API veya alt alan adı (subdomain) üzerinden beslenir. Saldırgan tüm zafiyetleri mobilize API üzerinden tarayarak gerçekleştirir.

4. Gerçek Çözüm: "Savunma Derinliği" (Defense in Depth)

WAF ve Pentest (Sızma Testi) birbirinin rakibi değil, tamamlayıcısıdır.

  • WAF (Makine): Sizi dünyadaki milyonlarca otomatik tarama botundan, script kiddie tabir edilen tecrübesiz hackerlardan ve DDoS saldırılarından 7/24 ucuza korur.
  • Pentest / Red Teaming (İnsan & İleri Düzey AI): WAF'ı maske olarak kullanan, kurumunuza özel hedefli saldırı düzenleyen yetenekli korsanları taklit eder. Sizin uygulamanızın DNA'sını analiz eder.

Ne Zaman Profesyonel Desteğe İhtiyacınız Var?

Eğer WAF altyapınızı kurduysanız ve uygulamanız dış dünyaya açıksa; iş mantığı hatalarını, API yetkilendirme bypass zafiyetlerini ve WAF yapılandırma eksikliklerinizi görmek zorundasınız. PCI-DSS, GDPR veya BDDK gibi kurumlar da otomatik güvenlik duvarlarının zekaya dayalı siber tehditler karşısında yetersiz kaldığını bildiği için, manuel sızma testi mecburiyetini regülasyonlara dahil etmiştir.

Uygulamanız WAF'ın arkasında güvende mi yoksa sadece öyle mi zannediyorsunuz? İnsan zekasının otomasyonla birleştiği güvenlik boşluklarını görmek için Eresus Security'nin gelişmiş Sızma Testi (Pentest) ve Red Team hizmetlerini bugün planlayın.