BANKACILIK VE FİNANS SEKTÖRÜ GÜVENLİ KODLAMA MASTER KURSU

BANKACILIK VE FİNANS SEKTÖRÜ GÜVENLİ KODLAMA MASTER KURSU

GÜVENLİ KODLAMA MASTER KURSU

Fintech endüstrisinde bir BT güvenlik yöneticisiyseniz sektörün güvenlik gereksinimleri ve PCI güvenliği ciddi kabuslara neden olmuş olabilir. Güvenli kodlama konusunda profesyonel usta kursumuzla endişenizi yönetin ve şirketinizi pazarda ilk sırada tutun!

Güvenli Kodlama Master Kursu’nu özellikle en hassas veri iletimini sağlayan fintech endüstrisi şirketleri için tasarladık: her türlü para transferinin güvenliği odağımızda yer almaktadır.

Bu nedenle programımız güvenli kodlama konularında bilgi ve deneyim sunmaktadır.
Sistemlerin ve uygulamaların tehditleri ve güvenlik açıkları, uygulamalı atölye çalışmaları, bankacılık sektöründen gerçek vaka çalışmaları, hatta güvenli korsanlıkların tüm sonuçlarını ortaya çıkarmak için katılımcıları canlı korsanlık uygulamaları ile yetiştiriyoruz.

KURS İÇERİĞİ

  • BT güvenliği ve güvenli kodlama
  • Bankacılık ve finans sektöründe özel tehditler
  • Yönetmelikler ve standartlar
  • Web uygulaması güvenliği (OWASP Top Ten 2017)
  • İstemci tarafı güvenliği
  • Güvenlik mimarisi
  • Güvenli iletişimin gerekleri
  • Pratik şifreleme
  • Kripto kütüphaneleri ve API’ları
  • Güvenlik protokolleri
  • Giriş doğrulama
  • Web servislerinin güvenliği
  • Güvenlik özelliklerinin yanlış kullanımı
  • Nesne-ilişkisel haritalama (ORM) güvenliği
  • Uygunsuz hata ve istisna işleme
  • Zaman ve durum problemleri
  • Kod kalitesi sorunları
  • Hizmet reddi
  • Güvenlik testi teknikleri ve araçları
  • Güvenlik ilkeleri ve güvenli kodlama
  • Bilgi kaynakları

BU KURSA KATILACAK KATILIMCILAR

  • Güvenlik, BT güvenliği ve güvenli kodlamanın temel kavramlarını anlar.
  • Bankacılık ve finans sektöründeki özel tehditleri anlamak
  • Düzenlemeleri ve standartları anlamak
  • OWASP Top Ten’in ötesindeki Web açıklarını öğrenin ve bunlardan nasıl sakınacağınızı öğrenin
  • XML güvenliği hakkında bilgi edinin
  • İstemci tarafında güvenlik açıklarını ve güvenli kodlama uygulamalarını öğrenme
  • Pratik bir kriptografi anlayışına sahip olma
  • Güvenli iletişimin gereklerini anlama
  • Temel güvenlik protokollerini anlama
  • Kriptosistemlere yönelik bazı son saldırıları anlama
  • Web servislerinin güvenlik kavramlarını anlama
  • JSON güvenliği hakkında bilgi edime
  • Tipik kodlama hataları ve bunların nasıl önleneceği hakkında bilgi edinin.
  • Java çerçevesindeki bazı yeni güvenlik açıkları hakkında bilgi edinin.
  • Hizmet ataklarını ve korumaları reddetme hakkında bilgi edinin.
  • Güvenlik testi teknikleri ve araçları kullanma konusunda pratik bilgi edinin
  • Güvenli kodlama uygulamaları hakkında kaynaklar

GÜVENLİ KODLAMA MASTER KURSU 1. GÜN PROGRAMI

  • BT güvenliği ve güvenli kodlama
    • Güvenlik doğası
    • Risk nedir?
    • BT güvenliği vs. güvenli kodlama
    • Güvenlik açıklarından botnetlere ve siber suçlara kadar
      • Güvenlik kusurlarının doğası
      • Zorluk nedenleri
      • Enfekte bir bilgisayardan hedefe yönelik saldırılara
    • Güvenlik kusurlarının sınıflandırılması
      • Landwehr’in taksonomisi
      • Yedi Pernicious Krallık
      • OWASP Top Ten 2017
      • CWE / SANS top 25 en tehlikeli yazılım hataları
      • SEI CERT güvenli kodlama standartları
  • Bankacılık ve finans sektöründe özel tehditler
    • Bankacılık ve finans tehditleri – eğilimler
    • Bankacılık ve finans tehditleri – bazı rakamlar
    • Saldırgan profilleri
    • En önemli hedefler
    • Tehditler için endüstri ve düzenleyici tepki
    • Saldırgan araçları ve vektörleri
  • Yönetmelikler ve standartlar
    • Fintech siber güvenlik düzenleyici / uyumluluk peyzajı
    • BT açısından önemli organizasyonlar ve düzenlemeler
    • Hassas verileri yönetme
    • İhlali ihbar yükümlülükleri
    • PCI DSS uyumluluğu
      • Bir bakışta PCI DSS
      • PCI-DSS tarafından korunan ana varlıklar
      • Gereksinimler
      • Gereksinim 6 – Güvenli sistemler ve uygulamalar geliştirmek ve sürdürmek
        • 6.1 – Zafiyetlerin belirlenmesi, risk yönetimi
        • 6.2 – Yama
        • 6.3 – Güvenli yazılım geliştirme
        • 6.4 – Politikalar ve prosedürler
        • 6.5 – Tren geliştiricileri güvenli kodlama en iyi uygulamalarında
        • 6.6 – Güvenlik değerlendirmesi ve saldırı tespiti
        • 6.7 – Dokümantasyon ve uygulama
  • Web uygulaması güvenliği (OWASP Top Ten 2017)
    • A1 – Enjeksiyon
      • Enjeksiyon prensipleri
      • SQL enjeksiyonu
        • Egzersiz – SQL enjeksiyonu
        • Tipik SQL Enjeksiyon saldırı yöntemleri
        • Kör ve zaman tabanlı SQL enjeksiyonu
        • SQL enjeksiyon koruma yöntemleri
        • Veri depolama çerçevelerinin SQL enjeksiyonu üzerine etkisi
      • Diğer enjeksiyon kusurları
        • Komuta enjeksiyon
        • Örnek olay – ImageMagick
    • A2 – Bozuk kimlik doğrulaması
      • Oturum taşıma tehditleri
      • Oturumun en iyi uygulamaları
      • Çerez niteliklerini ayarlama – en iyi yöntemler
      • Örnek olay – Danimarka online bankacılıkta kimlik doğrulama sorunları
        • Danske Bank web sitesi hata ayıklama modu bilgileri sızıntısı
        • Danske Bank seansı sızıntısı ve potansiyel kaçırılma açığı
      • Web sitesi isteği sahteciliği (CSRF)
        • Giriş CSRF
        • CSRF önleme

GÜVENLİ KODLAMA MASTER KURSU 2. GÜN PROGRAMI

  • Web uygulaması güvenliği (OWASP Top Ten 2017)
    • A3 – Hassas veri pozlaması
      • Hassas veri pozlama
      • Örnek olay – Ödeme kartlarına karşı dağıtılmış tahmin saldırısı
        • Çevrimiçi ödeme sistemlerinde bilgi sızıntısı zayıflıkları
        • Pratik tahmin saldırısı
        • Gerçek dünya sömürüsü ve karşı önlemler
      • Taşıma katmanı Güvenliği
        • HTTPS’yi zorlamak
    • A4 – XML ​​harici varlık (XXE)
      • XML Varlığı tanıtımı
      • XML dış varlık saldırısı (XXE) – kaynak eklenmesi
      • XML harici varlık saldırısı – URL çağrısı
      • XML harici varlık saldırısı – parametre varlıkları
      • Egzersiz – XXE saldırısı
      • Örnek olay – Google Araç Çubuğunda XXE
      • Örnek olay – XGI TGI Cuma sipariş sisteminde
        • Güvenlik açığını belirleme: XML olarak işlenen JSON girişi
    • A5 – Bozuk erişim kontrolü
      • Tipik erişim kontrolü zayıflıkları
      • Güvenli olmayan doğrudan nesne başvurusu (IDOR)
      • Egzersiz – Güvensiz doğrudan nesne referansı
      • İDOR’a karşı koruma
      • Vaka çalışması – Facebook notları
      • Egzersiz – Yetkilendirme bypass
    • A6 – Güvenlik yanlış yapılandırması
      • Çevreyi yapılandırma
      • Güvenli olmayan dosya yüklemeleri
      • Alıştırma – Yürütülebilir dosyaların yüklenmesi
      • Dosya yüklemelerini filtreleme – doğrulama ve yapılandırma
    • A7 – Siteler Arası Komut Dosyası (XSS)
      • Kalıcı XSS
      • Yansıyan XSS
      • DOM tabanlı XSS
      • Egzersiz – Çapraz Site Komut Dosyası
      • Sömürü: CSS enjeksiyonu
      • Sömürü: etiketi enjekte etmek
      • Egzersiz – Baz etiketi ile HTML enjeksiyonu
      • XSS önleme
    • A8 – Güvensiz serileştirme
      • Deserialization temelleri
      • Serileştirmenin güvenlik sorunları
      • Serileştirme ile ilgili sorunlar – JSON
    • A9 – Bilinen güvenlik açıkları olan bileşenleri kullanma
      • Güvenlik açığı özellikleri
      • Ortak Güvenlik Açığı Puanlama Sistemi – CVSS
    • A10 – Yetersiz kayıt ve izleme
      • Algılama ve tepki
      • Kayıt ve log analizi
      • Saldırı tespit sistemleri ve Web uygulaması güvenlik duvarları
  • İstemci tarafı güvenliği
    • JavaScript güvenliği
    • Aynı Menşe Politikası
    • Kökeni Kaynak Paylaşımı (CORS)
    • Egzersiz – İstemci tarafı kimlik doğrulaması
    • İstemci tarafı kimlik doğrulama ve şifre yönetimi
    • JavaScript kodunu koruma
    • Clickjacking
      • Clickjacking
      • Egzersiz – Beni seviyor musun?
      • Clickjacking’e karşı koruma
      • Anti frame-busting – koruma komut dosyalarını reddetme
      • Yıpranma çerçevesinin sıkışmasına karşı koruma
    • AJAX güvenliği
      • AJAX’ta XSS
      • AJAX’te komut dosyası enjeksiyon saldırısı
      • Egzersiz – AJAX’ta XSS
      • Ajax’te XSS koruması
      • AJAX’ta CSRF Alıştırma – JavaScript’i ele geçirme
      • AJAX’ta CSRF koruması
    • HTML5 güvenliği
      • HTML5’te yeni XSS olanakları
      • HTML5 tıklama saldırısı – metin alanı enjeksiyonu
      • HTML5 clickjacking – içerik çıkarma
      • Form kurcalamak
      • Alıştırma – Form kurcalama
      • Çapraz kaynaklı istekler
      • Çapraz kaynaklı istekle birlikte HTML proxy’si
      • Egzersiz – Müşteri tarafı dahil
  • Güvenlik mimarisi
    • (platform ve teknolojiye bağlı konular)
    • Uygulama seviyesi erişim kontrolü
      • (izinler, kum havuzu)
    • Kullanıcı seviyesi erişim kontrolü
      • Doğrulama
      • Yetki

GÜVENLİ KODLAMA MASTER KURSU 3. GÜN PROGRAMI

  • Güvenli iletişimin gerekleri
    • Güvenlik seviyeleri
    • Güvenli bildirim
      • Kötü niyetli mesaj emilimi
        • Güvenli kabulün uygulanabilirliği
        • Çözüm: Takas Merkezleri
      • Yanlış mesaj kaybı
    • Bütünlük
      • Hata tespiti – Yanlış mesaj bozulması (gürültü)
        • Modelleme mesaj bozulması
        • Hata bulma ve düzeltme kodları
      • Özgünlük – Kötü amaçlı mesaj işleme
        • Modelleme mesaj manipülasyonu
        • Pratik bütünlük koruması (algılama)
      • İnkar edilemez
        • İnkar edilemez
      • özet
        • Bütünlük ihlalini tespit etme
    • Gizlilik
      • Şifreli iletişim modeli
      • Uygulamada şifreleme yöntemleri
      • Şifreleme algoritmalarının gücü
    • Uzaktan tanımlama
      • Uzaktan tanımlama gereksinimleri
    • Anonimlik ve trafik analizi
      • Anonim iletişim modeli
      • Trafik analizi
      • Trafik analizine karşı teorik olarak güçlü koruma
      • Trafik analizine karşı pratik koruma
    • özet
      • Gereksinimler arasındaki ilişki
  • Pratik şifreleme
    • Uygulama kriptografisinin 1. numaralı kuralı
    • Kriptosistemler
      • Bir şifreleme sisteminin elemanları
    • Simetrik anahtar şifreleme
      • Simetrik kriptografi ile gizlilik sağlanması
      • Simetrik şifreleme algoritmaları
      • Operasyon modları
    • Diğer şifreleme algoritmaları
      • Karma veya mesaj özeti
      • Karma algoritmalar
      • Shattered
      • Mesaj Doğrulama Kodu (MAC)
      • Simetrik anahtarla bütünlük ve özgünlük sağlama
      • Rasgele sayılar ve şifreleme
      • Kriptografik olarak güçlü PRNG’ler
      • Donanım tabanlı TRNG’ler
    • Asimetrik (genel anahtar) kriptografi
      • Genel anahtar şifrelemeyle gizlilik sağlama
      • Başparmak kuralı – özel anahtar bulundurma
      • RSA algoritması
        • RSA algoritmasına giriş
        • RSA ile şifreleme
        • Simetrik ve asimetrik algoritmaları birleştirmek
        • RSA ile dijital imzalama
    • Genel Anahtar Altyapısı (PKI)
      • İnsansı Ortadaki (MitM) saldırı
      • MitM saldırısına karşı dijital sertifikalar
      • Ortak Anahtar Altyapısında Sertifika Yetkilileri
      • X.509 dijital sertifikası
  • Kripto kütüphaneleri ve API’ları

GÜVENLİ KODLAMA MASTER KURSU 4. GÜN PROGRAMI

  • Güvenlik protokolleri
    • SSL / TLS protokolleri
      • Güvenlik Servisi
      • SSL / TLS el sıkışma
    • Protokol düzeyinde güvenlik açıkları
      • BEAST
    • Origami saldırıları doldurma
      • Uyarlanmış seçilmiş şifreli metin saldırıları
      • Padding oracle saldırısı
      • CBC şifre çözme
      • Dolgu oracle örneği
      • KANİŞ
  • Giriş doğrulama
    • Giriş doğrulama kavramları
    • Tamsayı problemleri
      • Negatif tamsayıların gösterimi
      • Tamsayı taşması
      • Tamsayı problemi – en iyi uygulamalar
        • Tamsayı problemi – en iyi uygulamalar
      • Örnek olay – Stokholm Borsasında tamsayı taşması
        • Hisse senedi satın alırken tam tersi sarma sorunu
    • Yol geçişi açığı
      • Yol geçişi – en iyi uygulamalar
      • Örnek çalışma – LastPass’te yetersiz URL doğrulaması
    • Onaylanmamış yönlendirmeler ve iletmeler
    • Giriş dövme
      • Günlük dosyaları ile diğer bazı tipik sorunlar
    • (bazı ek platform ve teknolojiye bağlı konular)
  • Web servislerinin güvenliği
    • Web servislerini güvence altına almak – iki genel yaklaşım
    • SOAP – Basit Nesne Erişim Protokolü
    • RESTful web servislerinin güvenliği
      • RESTful web hizmetlerinde kullanıcıları doğrulama
      • JSON Web Jetonları ile Kimlik Doğrulama (JWT)
      • REST ile yetkilendirme
      • REST ile bağlantılı güvenlik açıkları
    • XML güvenliği
      • Giriş
      • XML ayrıştırma
      • XML enjeksiyonu
        • (Ab) XML’de XSS yükünü depolamak için CDATA’yı kullanma
        • Egzersiz – XML ​​enjeksiyonu
        • Sanitizasyon ve XML doğrulama yoluyla koruma
        • XML bomba
        • Egzersiz – XML ​​bomba
    • JSON güvenliği
      • JSON ayrıştırma
      • JSON sunucu tarafını katıştırma
      • JSON enjeksiyonu
      • JSON kaçırma
      • Vaka çalışması – XSS sahte JSON elemanı ile
  • Güvenlik özelliklerinin yanlış kullanımı
    • Güvenlik özelliklerinin kullanımıyla ilgili tipik sorunlar
    • Güvensiz rastgelelik
      • Örnek olay – Equifax hesabı donduru PIN kodu üretimi
      • Örnek olay – Tesco Bank dolandırıcılık
        • Sahtekarlık deterministik kart numarası üretimi
    • Şifre yönetimi
      • Egzersiz – Karma şifrelerin zayıflığı
      • Şifre yönetimi ve depolama
      • Parola depolama için özel amaçlı karma algoritmalar
      • Örnek olay – Ashley Madison veri ihlali
        • Loginkey belirteci
        • Brute zorla şifreleri ortaya çıkarmak
      • Şifre yönetiminde tipik hatalar
    • Örnek olay – Equifax şifre yönetimi sorunları
  • Nesne-ilişkisel haritalama (ORM) güvenliği

GÜVENLİ KODLAMA MASTER KURSU 5. GÜN PROGRAMI

  • Uygunsuz hata ve istisna işleme
    • Hata ve istisna işlemiyle ilgili tipik sorunlar
  • Zaman ve durum problemleri
  • Kod kalitesi sorunları
  • Hizmet reddi
    • DoS giriş
    • Asimetrik DoS
    • SSL / TLS yeniden müzakere DoS
    • Örnek olay – Yığın Değişiminde ReDos
    • Hashtable çarpışma saldırısı
      • Girdileri saklamak için karma kullanmanın kullanılması
      • Hashtable çarpışma
  • Güvenlik testi teknikleri ve araçları
    • Genel test yaklaşımları
    • Kaynak kodu incelemesi
      • Yazılım güvenliği için kod incelemesi
      • Taint analizi
      • Sezgisel-tabanlı
      • Statik kod analizi
        • Statik kod analizi
    • Uygulamanın test edilmesi
      • Dinamik güvenlik testi
      • Manuel ve otomatik güvenlik testi
      • Penetrasyon testi
      • Stres testleri
      • fuzzing
        • Otomatik güvenlik testi – fuzzing
        • Fuzzing’in zorlukları
      • Proxy sunucuları ve sniffers
        • Proxy ve sniffer ile test etme
        • Paket analizörleri ve proxy’leri
        • Egzersiz – Proxy ile test etme
        • Proxying HTTPS trafiği
        • Örnek olay – Lenovo Superfish olayı
      • Web güvenlik açığı tarayıcıları
        • Egzersiz – Bir güvenlik açığı tarayıcısı kullanma
        • SQL enjeksiyon araçları
        • Egzersiz – SQL enjeksiyon araçlarını kullanma
  • Güvenlik ilkeleri ve güvenli kodlama
    • Matt Bishop’un sağlam programlama ilkeleri
    • Saltzer ve Schroeder’in güvenlik ilkeleri
    • SEI Cert top 10 güvenli kodlama uygulamaları
  • Bilgi kaynakları
    • Güvenli kodlama kaynakları – başlangıç ​​seti
    • Güvenlik açığı veritabanları

You may also like

DevOps Zirvesi 2018

Bu yıl ikincisi düzenlenecek olan DevOps Zirvesi yine