Web Uygulama Güvenliği ve Güvenli Kod Geliştirme

Ana Sayfa » Kurslar » Web Uygulama Güvenliği ve Güvenli Kod Geliştirme

Web Uygulama Güvenliği ve Güvenli Kod Geliştirme kursu, web uygulamalarındaki temel güvenlik zaafiyetlerinin nasıl ortaya çıktığı, saldırgan tarafından nasıl sömürüldüğü ve sömürülmemesi için ne gibi önlemler alınması gerektiğinin anlatılacağı kurstur.

 

Eğitime katılacakların sahip olması gereken özellikler:

  • Okuduğunu anlayabilecek düzeyde İngilizce bilgisi.
  • GNU/Linux 0.5 konularına hakimiyet
  • Herhangi bir web programlama diline (tercihen web dilleri) orta ya da üstü düzeyde hakim olmak.

 

Başvuruların Değerlendirilmesi:

Bu kursa başvuranlar eğitmenler tarafından hazırlanan ayrı bir sınavdan geçecektir. Sınav adresi başvurular kapandıktan sonra e-posta olarak gönderilecektir. E-postalarınızı kontrol etmeyi unutmayınız.

 

Konular

  • Temel İnternet Bilgisi
    • Web nasıl çalışır?
      • Temel TCP, DNS ve işletim sistemi
    • HTTP Protokolü
      • HTTP Talep türleri
      • HTTP parametreleri
      • HTTP başlık bilgileri
      • TLS ve SSL
    • Tarayıcı teknolojileri ve güvenlik
      • Same origin policy
      • Cross Origin Resource Sharing
    • Web Uygulama Teknolojisi
      • Veritabanı sistemleri
        • İlişkisel veritabanı sistemleri
        • Veritabanı davranışları
        • İlişkisel olmayan (NoSQL) veritabanı sistemleri
        • Kullanıcı girdileri
        • Güvenlik testi araçları
          • Firefox ve gerekli eklentiler
          • ZAProxy, sqlmap, …
      • OWASP Top #10
        • Injection
          • SQL Injection saldırıları ve tipleri
          • Command Injection saldırıları
        • Cross-Site Scripting
          • Reflected XSS
          • Stored XSS
          • Dom based XSS
          • Self XSS
          • HTTP Güvenlik Başlık Bilgileri
            • Content-Security Policy
            • HTTP Strict Transport Security
            • HTTP Public Key Pinning
            • Subresource Integrity
        • XML External Entities (XXE)
        • Template Injection
        • Open Redirection
        • Local File Inclusion (LFI)
        • Remote File Inclusion (RFI)
        • Insecure Direct Object Reference
        • Cross-Site Request Forgery
        • Zararlı dosya yükleme saldırıları
        • Oturum ve yetkilendirme zafiyetleri
        • Hassas veri ifşası
        • Doğrulanmamış yönlendirme zafiyetleri
        • Yanlış güvenlik yapılandırılması
        • Bilinen zafiyetli bileşenleri kullanma
      • İş Mantığı Problemleri
      • Web Servis Testleri
        • REST Web Servis Testleri
        • SOAP Web Servis Testleri
      • Arka kapı oluşturma ve kullanma
      • Sürüm (Versiyon) yönetim sistemlerini saldırgan gözüyle incelemek
      • Web uygulamalarına yönelik DoS/DDoS saldırıları
      • Önbellekleme (caching) mekanizmaları
      • Dar boğazlara yapılan saldırılar
      • Web uygulama güvenlik duvarları
        • WAF kavramı
        • WAF saldırı tespit mantığı
        • WAF atlatma yöntemleri
      • Pratik uygulamalar (çok sayıda)
  • Güvenli Yazılım Geliştirme
    • Yazılım güvenliği ve risk ilkeleri
    • Güvenli geliştirme yaşam döngüsü (Secure Development Lifecycle (SDL))
    • Güvenli yazılım geliştirme sürecine giriş
      • Girdi kontrolü
        • Kara liste (Blacklisting) yaklaşımı
        • Beyaz liste (Whitelisting) yaklaşımı
      • Oturum yönetimi
      • Parola politikaları
      • Kriptoloji
      • Hata yakalama ve kayıt elde etme
      • Veri koruması
      • İletişim güvenliği
        • Sunucu – Kullanıcı arası iletişim
        • Sunucu – Sunucu arası iletişim
      • Sistem ve web sunucu ayarları
      • Veritabanı güvenliği ve veri tutarlılığı
      • Dosya yönetimi