Web Uygulama Güvenliği ve Güvenli Kod Geliştirme

Başlangıç: 11 Ağustos 2014
Bitiş: 23 Ağustos 2014

 

Eğitime katılacakların sahip olması gereken özellikler:

  • Okuduğunu anlayabilecek düzeyde İngilizce bilgisi
  • Temel düzeyde Linux bilgisi
  • Herhangi bir web programlama diline orta ya da üstü düzeyde hakim olan.

 

Konular:

  • Web Uygulama Teknolojisi
    • Web protokolleri ve web sitelerinin çalışma mantığı
    • İnternet tarayıcıları
    • Web Uygulama Sunucusu
      • Web uygulamalarının sunucuda çalışma mantıkları
      • HTTP Protokolü
      • Talep türleri
      • HTTP parametreleri
      • HTTP başlık bilgileri
        • Çerezler
        • CSP komutları, X-forwarded-for, …
    • Veri tabanı sistemleri
      • İlişkisel veri tabanı sistemleri
      • Veri tabanı davranışları
      • İlişkisel olmayan (NoSQL) veri tabanı sistemleri
      • Web Uygulama Saldırıları
      • Kullanıcı girdileri
      • Güvenlik testi araçları
        • Firefox ve gerekli eklentiler
        • ZAProxy, w3af, sqlmap, …
      • OWASP Top #10
        • Injection Saldırıları
          • SQL Injection saldırıları ve tipleri
          • Command Injection saldırıları
        • Cross-Site Scripting
          • Reflected XSS
          • Stored XSS
          • Dom based XSS
        • Zararlı dosya yükleme saldırıları
        • CSRF Saldırıları
        • IDOR
        • Oturum ve yetkilendirme zafiyetleri
        • Hassas veri ifşası
        • Doğrulanmamış yönlendirme zafiyetleri
        • Yanlış Güvenlik Yapılandırılması
        • Bilinen zafiyetli bileşenleri kullanma
      • Arka kapı oluşturma ve kullanma
      • Versiyon Yönetim Sistemlerini saldırgan gözüyle incelemek
        • Web uygulamalarına yönelik DoS/DDoS saldırıları
        • Caching mekanizmaları
        • Dar boğazlara yapılan saldırılar
      • Web uygulama güvenlik duvarları
        • WAF nedir ?
        • WAF saldırı tespit mantığı
        • WAF atlatma yöntemleri
  • Güvenli Yazılım Geliştirme
    • Yazılım güvenliği ve risk ilkeleri
    • Güvenli yazılım geliştirme sürecine giriş
      • Girdi kontrolü
        • Blacklisting yaklaşımı
        • Whitelisting yaklaşımı
      • Oturum yönetimi
      • Şifre politikaları
      • Erişim kontrolü
      • Kriptoloji
      • Hata yakalama ve kayıt etme
      • Veri koruması
      • İletişim güvenliği
        • Sunucu – Kullanıcı arası iletişim
        • Sunucu – Sunucu arası iletişim
      • Sistem ve web sunucu ayarları
      • Veri tabanı güvenliği ve veri tutarlılığı
      • Dosya yönetimi
    • Yaşanmış örnekler