Webhook Güvenliği (İmza Doğrulama) Nedir?
İngilizce: Webhook Security
Webhook güvenliği, gelen olayların kaynağını imza, zaman damgası ve tekrar korumasıyla doğrulama disiplinidir.
Webhook Güvenliği (İmza Doğrulama) Nedir?
Webhook güvenliği, dış bir sistemden gelen olay bildiriminin gerçekten beklenen sağlayıcıdan gelip gelmediğini doğrulamaya odaklanır. Webhook endpoint’i internete açık olduğu için yalnızca URL’yi gizli tutmak yeterli değildir; saldırgan aynı adrese sahte ödeme, iptal veya stok olayı göndermeyi deneyebilir.
Temel Koruma Katmanları
- İmza doğrulama: Sağlayıcı payload üzerinde HMAC gibi bir yöntemle imza üretir. Alıcı sistem aynı imzayı hesaplayıp karşılaştırır.
- Zaman damgası: Eski bir isteğin tekrar gönderilmesini engellemek için belirli zaman penceresi kabul edilir.
- Replay koruması: Olay ID’si veya nonce saklanarak aynı bildirimin ikinci kez işlenmesi önlenir.
- Dar endpoint tasarımı: Sadece gerekli HTTP metodu, içerik tipi ve payload şeması kabul edilir.
- Log ve alarm: İmza hataları, anormal tekrarlar ve beklenmeyen kaynaklar izlenir.
İş Kullanımı
Ödeme sağlayıcıları, pazaryeri entegrasyonları, kargo sistemleri ve abonelik platformları kritik durum değişikliklerini webhook ile bildirir. Bu olayları doğrulamadan işlemek sahte sipariş onayı, mükerrer iade veya yanlış stok güncellemesi gibi riskler doğurur.
Hashing imza üretiminin temelidir; API güvenliği ise kimlik doğrulama, oran sınırlama ve hata yanıtı gibi daha geniş kontrolleri kapsar.
İlgili Terimler
API güvenliği, endpoint'leri kimlik doğrulama, yetkilendirme, şifreleme ve hız sınırlarıyla kötüye kullanıma karşı korur.
HashingHashing, veriyi sabit uzunluklu özet değere çeviren tek yönlü işlemdir; parola saklama ve bütünlük kontrolünde kullanılır.
WebhookWebhook, belirli bir olay olduğunda bir sistemin başka bir sisteme otomatik HTTP isteği göndermesini sağlayan bildirim yöntemidir.