Webhook Güvenliği (İmza Doğrulama) Nedir?

İngilizce: Webhook Security

Webhook güvenliği, gelen olayların kaynağını imza, zaman damgası ve tekrar korumasıyla doğrulama disiplinidir.

Webhook Güvenliği (İmza Doğrulama) Nedir?

Webhook güvenliği, dış bir sistemden gelen olay bildiriminin gerçekten beklenen sağlayıcıdan gelip gelmediğini doğrulamaya odaklanır. Webhook endpoint’i internete açık olduğu için yalnızca URL’yi gizli tutmak yeterli değildir; saldırgan aynı adrese sahte ödeme, iptal veya stok olayı göndermeyi deneyebilir.

Temel Koruma Katmanları

  • İmza doğrulama: Sağlayıcı payload üzerinde HMAC gibi bir yöntemle imza üretir. Alıcı sistem aynı imzayı hesaplayıp karşılaştırır.
  • Zaman damgası: Eski bir isteğin tekrar gönderilmesini engellemek için belirli zaman penceresi kabul edilir.
  • Replay koruması: Olay ID’si veya nonce saklanarak aynı bildirimin ikinci kez işlenmesi önlenir.
  • Dar endpoint tasarımı: Sadece gerekli HTTP metodu, içerik tipi ve payload şeması kabul edilir.
  • Log ve alarm: İmza hataları, anormal tekrarlar ve beklenmeyen kaynaklar izlenir.

İş Kullanımı

Ödeme sağlayıcıları, pazaryeri entegrasyonları, kargo sistemleri ve abonelik platformları kritik durum değişikliklerini webhook ile bildirir. Bu olayları doğrulamadan işlemek sahte sipariş onayı, mükerrer iade veya yanlış stok güncellemesi gibi riskler doğurur.

Hashing imza üretiminin temelidir; API güvenliği ise kimlik doğrulama, oran sınırlama ve hata yanıtı gibi daha geniş kontrolleri kapsar.