Hizmetler Paketler Hakkımda SSS Dijital Kartvizitim İletişim
Güvenli Web Geliştirme

Kod Seviyesinde
Gerçek Güvenlik

Formlarınız, chat botlarınız ve API entegrasyonlarınız dışarıdan gelen veriyi nasıl işliyor? XSS koruması, güvenlik başlıkları, rate limiting ve API key yönetimi ile web sitenizi gerçek tehdit senaryolarına karşı güçlendiriyorum — saf kod, dışarıdan hazır eklenti değil.

2026 Güvenli Web Geliştirme Paketleri

Kodunuzu Gerçek Tehditlere Karşı Sınayalım

Denetim, uygulama veya sürekli bakım — mevcut riskinize göre doğru paketi seçin.

BAŞLANGIÇ
Güvenlik Denetim Raporu
Mevcut riski tespit edelim
8.500 TL / tek seferlik
  • XSS ve innerHTML kullanımı taraması (kod seviyesinde)
  • API key / sır sızıntısı taraması (client-side kod)
  • Form ve API uç noktası girdi doğrulama incelemesi
  • Güvenlik başlıkları (CSP, HSTS, X-Frame-Options vb.) kontrolü
  • Öncelik sıralı bulgu raporu (somut dosya/satır ile)
Bu bir penetrasyon testi değildir — kod seviyesinde, somut ve doğrulanabilir bir teknik denetimdir.
Hemen Başlayalım
SÜREKLİ
Bakım & Güvenlik Aboneliği
Aylık izleme & güncelleme
3.500 TL / ay
  • Hosting + SSL + yedekleme (temel bakım dahil)
  • Yeni eklenen sayfa/form için güvenlik incelemesi
  • Rate limit ve güvenlik başlıklarının periyodik kontrolü
  • API key rotasyonu ve sızıntı taraması (3 ayda bir)
  • Öncelikli destek ve aylık durum raporu
bakim.html'deki temel bakım paketinin güvenlik odaklı genişletilmiş hali.
Teklif Al
Hizmet Kapsamı

Dört Eksende Kod Güvenliği

Bugün emrahbahcivan.com'un kendi altyapısında uyguladığım aynı yöntemlerle sitenizi güçlendiriyorum.

XSS & Girdi Doğrulama
  • Dış kaynaklı verinin escape edilmesi
  • innerHTML yerine güvenli DOM işlemleri
  • Form/API girdi doğrulama ve karakter limiti
  • SSRF riskine karşı URL/domain kısıtlaması
  • Kod incelemesiyle somut örnek tespiti
Güvenlik Başlıkları
  • Content-Security-Policy (CSP) yapılandırması
  • Strict-Transport-Security (HSTS)
  • X-Frame-Options, X-Content-Type-Options
  • Referrer-Policy ve Permissions-Policy
  • Netlify/hosting seviyesinde uygulama
Rate Limiting
  • IP bazlı istek sınırlama (form, chat, API)
  • Kaba kuvvet (brute force) girişimlerine karşı gecikme
  • 429 durum kodu ve kullanıcıya net geri bildirim
  • Ücretli API kotasının kötüye kullanımına karşı koruma
  • Sunucu taraflı, bağımlılıksız uygulama
API Key & Veri Yönetimi
  • API anahtarlarının sunucu tarafına taşınması
  • Ortam değişkeni (environment variable) kullanımı
  • HMAC imzalı, zaman sınırlı oturum token'ları
  • KVKK uyumlu minimal veri toplama ilkesi
  • Timing-safe karşılaştırma (şifre/token doğrulamada)
Dürüst Kapsam

Neyi Yapıyorum, Neyi Yapmıyorum

Bu hizmetin sınırlarını net tutuyorum — satmadığım şeyi vaat etmem.

Kapsamda

  • Kod seviyesinde XSS/injection denetimi ve düzeltmesi
  • Güvenlik başlıkları ve CSP yapılandırması
  • Rate limiting ve oturum/token güvenliği kurulumu
  • API key'lerin sunucu tarafına taşınması
  • KVKK uyumlu veri işleme pratiklerinin uygulanması

Kapsam Dışı

  • Bağımsız penetrasyon testi veya güvenlik sertifikası (ISO 27001 vb.)
  • WAF (Web Application Firewall) kurulumu
  • DDoS koruması (hosting sağlayıcısının altyapı katmanı)
  • SSL/TLS sertifikası satışı (Netlify zaten otomatik sağlıyor)
  • Hukuki güvenlik/uyum garantisi (danışmanlık, taahhüt değil)
Neden Bu Hizmet?

Statik Site de Risk Taşır

Framework kullanmıyor olmanız güvenlik açığı olmayacağı anlamına gelmez — chat botu, form, API entegrasyonu olan her site aynı temel risklere açıktır.

XSS
En Sık Rastlanan Açık
Dış kaynaklı veriyi (form girdisi, API yanıtı, üçüncü taraf içerik) escape etmeden sayfaya basmak, saldırganın ziyaretçinizin tarayıcısında kod çalıştırmasına izin verebilir. Bu, "framework kullanmıyorum" diyen sitelerde de aynı ölçüde geçerlidir.
API
Sızan Anahtarlar Gerçek Maliyet
İstemci tarafı kodda bırakılan bir API anahtarı, kota tükenmesinden faturalandırılan hizmetin kötüye kullanımına kadar doğrudan maddi zarara yol açabilir. Anahtarların sunucu tarafına taşınması basit ama kritik bir önlemdir.
Form
Sınırsız İstek = Kötüye Kullanım
Rate limiting olmayan bir form veya chat botu, spam ve otomatik saldırı araçları için açık bir hedeftir. IP bazlı basit bir sınırlama bile bu riskin büyük kısmını ortadan kaldırır.
KVKK
Veri İşleme Sorumluluğu
Form ve chat sistemleri kişisel veri toplar. Minimal veri toplama, gereksiz loglama yapmama ve açık rıza metni gibi pratikler hem yasal hem etik bir zorunluluktur.
Kanıt
Kendi Sitemde Uyguluyorum
emrahbahcivan.com'un kendi altyapısında rate limiting, HMAC imzalı token doğrulama ve XSS koruması aktif olarak çalışıyor — teorik bir vaat değil, canlıda kullandığım yöntemler.
Dürüst
Abartısız Kapsam
Yapamayacağım şeyi (penetrasyon testi, WAF, sertifikasyon) satmıyorum. Sadece kod seviyesinde, somut ve doğrulanabilir güvenlik iyileştirmeleri sunuyorum.
Sık Sorulan Sorular

Güvenli Web Geliştirme Hakkında Merak Edilenler

Bu hizmet penetrasyon testi veya güvenlik sertifikası mı?
Hayır. Bu hizmet kod seviyesinde güvenlik denetimi ve uygulamasıdır (XSS, form injection, güvenlik başlıkları, API key yönetimi, rate limiting). Bağımsız penetrasyon testi veya ISO 27001 gibi sertifikasyonlar ayrı, akredite kuruluşlar tarafından yapılan hizmetlerdir ve bu paketin kapsamında değildir.
WAF (Web Application Firewall) veya DDoS koruması sağlıyor musunuz?
Hayır, bunlar Netlify/Cloudflare gibi altyapı sağlayıcılarının kendi (çoğunlukla ücretli) katmanlarıdır. Ben bu sistemlerin doğru yapılandırılmasına yönelik öneri sunabilirim, ancak WAF kurulumu veya DDoS koruması bu hizmetin kapsamında satılmaz.
XSS koruması tam olarak ne anlama gelir?
Kullanıcıdan veya dış bir kaynaktan gelen verinin, sayfaya güvensiz biçimde (örneğin innerHTML ile escape edilmeden) basılması, saldırganın tarayıcınızda kod çalıştırmasına izin verebilir. XSS koruması, bu tür verilerin gösterime sokulmadan önce doğru şekilde escape edilmesini, form ve API uç noktalarının girdi doğrulamasından geçirilmesini kapsar.
Rate limiting neden gerekli?
Formlar, chat botları veya API uç noktaları sınırsız istek kabul ederse kötüye kullanıma (spam, otomatik saldırı, ücretli API kotasının tüketilmesi) açık hale gelir. IP bazlı rate limiting, belirli bir sürede izin verilen istek sayısını sınırlayarak bu riski azaltır.
API anahtarlarımı nasıl güvenli hale getiriyorsunuz?
API anahtarları hiçbir zaman tarayıcı tarafında çalışan kodda (HTML/JS içinde) bulunmaz. Tüm dış servis çağrıları sunucu taraflı fonksiyonlar (Netlify Functions) üzerinden yapılır, anahtarlar yalnızca ortam değişkeninde tutulur ve istemciye hiçbir şekilde iletilmez.
Mevcut sitemde güvenlik denetimi yaptırabilir miyim?
Evet. Mevcut bir siteye (framework fark etmeksizin, kod erişimi olduğu sürece) kod seviyesinde güvenlik denetimi yapılıp bulunan açıklar somut örneklerle raporlanabilir; isterseniz düzeltme de ayrıca uygulanabilir.
İlgili Hizmetlerim

Güvenli Web Geliştirmeyi Tamamlayan Hizmetler

Avcılar Merkez, İstanbul 34310

Sitenizin Güvenlik Durumunu
Birlikte Değerlendirelim

Mevcut kodunuzu inceleyip somut, öncelik sıralı bir güvenlik raporu paylaşabilirim.