Web Uygulama Güvenliği ve Güvenli Kod Geliştirme

Başlangıç: 5 Ağustos 2016 Cuma
Bitiş: 20 Ağustos 2016 Cumartesi

 

Web Uygulama Güvenliği ve Güvenli Kod Geliştirme kursu, web uygulamalarındaki temel güvenlik zaafiyetlerinin nasıl ortaya çıktığı, saldırgan tarafından nasıl sömürüldüğü ve sömürülmemesi için ne gibi önlemler alınması gerektiğinin anlatılacağı kurstur.

Eğitime katılacakların sahip olması gereken özellikler:

  • Okuduğunu anlayabilecek düzeyde İngilizce bilgisi
  • Temel düzeyde Linux bilgisi
  • Herhangi bir web programlama diline orta ya da üstü düzeyde hakim olmak

 

Konular:

  • Web Uygulama Teknolojisi
    • Web protokolleri ve web sitelerinin çalışma mantığı
    • İnternet tarayıcıları
    • Web Uygulama Sunucusu
      • Web uygulamalarının sunucuda çalışma mantıkları
      • HTTP Protokolü
      • Talep türleri
      • HTTP parametreleri
      • HTTP başlık bilgileri
        • Çerezler
        • CSP komutları, X-forwarded-for, …
    • Veri tabanı sistemleri
      • İlişkisel veri tabanı sistemleri
      • Veri tabanı davranışları
      • İlişkisel olmayan (NoSQL) veri tabanı sistemleri
      • Web Uygulama Saldırıları
      • Kullanıcı girdileri
      • Güvenlik testi araçları
        • Firefox ve gerekli eklentiler
        • ZAProxy, w3af, sqlmap, …
      • OWASP Top #10
        • Injection Saldırıları
          • SQL Injection saldırıları ve tipleri
          • Command Injection saldırıları
        • Cross-Site Scripting
          • Reflected XSS
          • Stored XSS
          • Dom based XSS
        • Zararlı dosya yükleme saldırıları
        • CSRF Saldırıları
        • IDOR
        • Oturum ve yetkilendirme zafiyetleri
        • Hassas veri ifşası
        • Doğrulanmamış yönlendirme zafiyetleri
        • Yanlış Güvenlik Yapılandırılması
        • Bilinen zafiyetli bileşenleri kullanma
      • Arka kapı oluşturma ve kullanma
      • Versiyon Yönetim Sistemlerini saldırgan gözüyle incelemek
        • Web uygulamalarına yönelik DoS/DDoS saldırıları
        • Caching mekanizmaları
        • Dar boğazlara yapılan saldırılar
      • Web uygulama güvenlik duvarları
        • WAF nedir ?
        • WAF saldırı tespit mantığı
        • WAF atlatma yöntemleri
  • Güvenli Yazılım Geliştirme
    • Yazılım güvenliği ve risk ilkeleri
    • Güvenli yazılım geliştirme sürecine giriş
      • Girdi kontrolü
        • Blacklisting yaklaşımı
        • Whitelisting yaklaşımı
      • Oturum yönetimi
      • Şifre politikaları
      • Erişim kontrolü
      • Kriptoloji
      • Hata yakalama ve kayıt etme
      • Veri koruması
      • İletişim güvenliği
        • Sunucu – Kullanıcı arası iletişim
        • Sunucu – Sunucu arası iletişim
      • Sistem ve web sunucu ayarları
      • Veri tabanı güvenliği ve veri tutarlılığı
      • Dosya yönetimi
    • Yaşanmış örnekler