BU KURSA KATILACAK KATILIMCILAR

• Güvenlik, BT güvenliği ve güvenli kodlamanın temel kavramlarını anlar.
• Bankacılık ve finans sektöründeki özel tehditleri anlamak
• Düzenlemeleri ve standartları anlamak
• OWASP Top Ten’in ötesindeki Web açıklarını öğrenin ve bunlardan nasıl sakınacağınızı öğrenin
• XML güvenliği hakkında bilgi edinin
• İstemci tarafında güvenlik açıklarını ve güvenli kodlama uygulamalarını öğrenme
• Pratik bir kriptografi anlayışına sahip olma
• Güvenli iletişimin gereklerini anlama
• Temel güvenlik protokollerini anlama
• Kriptosistemlere yönelik bazı son saldırıları anlama
• Web servislerinin güvenlik kavramlarını anlama
• JSON güvenliği hakkında bilgi edime
• Tipik kodlama hataları ve bunların nasıl önleneceği hakkında bilgi edinin.
• Java çerçevesindeki bazı yeni güvenlik açıkları hakkında bilgi edinin.
• Hizmet ataklarını ve korumaları reddetme hakkında bilgi edinin.
• Güvenlik testi teknikleri ve araçları kullanma konusunda pratik bilgi edinin
• Güvenli kodlama uygulamaları hakkında kaynaklar

GÜVENLİ KODLAMA MASTER KURSU 1. GÜN PROGRAMI

• BT güvenliği ve güvenli kodlama
  • Güvenlik doğası
  • Risk nedir?
  • BT güvenliği vs. güvenli kodlama
  • Güvenlik açıklarından botnetlere ve siber suçlara kadar
    • Güvenlik kusurlarının doğası
    • Zorluk nedenleri
    • Enfekte bir bilgisayardan hedefe yönelik saldırılara
  • Güvenlik kusurlarının sınıflandırılması
    • Landwehr’in taksonomisi
    • Yedi Pernicious Krallık
    • OWASP Top Ten 2017
    • CWE / SANS top 25 en tehlikeli yazılım hataları
    • SEI CERT güvenli kodlama standartları
• Bankacılık ve finans sektöründe özel tehditler
  • Bankacılık ve finans tehditleri – eğilimler
  • Bankacılık ve finans tehditleri – bazı rakamlar
  • Saldırgan profilleri
  • En önemli hedefler
  • Tehditler için endüstri ve düzenleyici tepki
  • Saldırgan araçları ve vektörleri
• Yönetmelikler ve standartlar
  • Fintech siber güvenlik düzenleyici / uyumluluk peyzajı
  • BT açısından önemli organizasyonlar ve düzenlemeler
  • Hassas verileri yönetme
  • İhlali ihbar yükümlülükleri
  • PCI DSS uyumluluğu
    • Bir bakışta PCI DSS
    • PCI-DSS tarafından korunan ana varlıklar
    • Gereksinimler
    • Gereksinim 6 – Güvenli sistemler ve uygulamalar geliştirmek ve sürdürmek
      • 6.1 – Zafiyetlerin belirlenmesi, risk yönetimi
      • 6.2 – Yama
      • 6.3 – Güvenli yazılım geliştirme
      • 6.4 – Politikalar ve prosedürler
      • 6.5 – Tren geliştiricileri güvenli kodlama en iyi uygulamalarında
      • 6.6 – Güvenlik değerlendirmesi ve saldırı tespiti
      • 6.7 – Dokümantasyon ve uygulama
• Web uygulaması güvenliği (OWASP Top Ten 2017)
  • A1 – Enjeksiyon
    • Enjeksiyon prensipleri
    • SQL enjeksiyonu
      • Egzersiz – SQL enjeksiyonu
      • Tipik SQL Enjeksiyon saldırı yöntemleri
      • Kör ve zaman tabanlı SQL enjeksiyonu
      • SQL enjeksiyon koruma yöntemleri
      • Veri depolama çerçevelerinin SQL enjeksiyonu üzerine etkisi
    • Diğer enjeksiyon kusurları
      • Komuta enjeksiyon
      • Örnek olay – ImageMagick
  • A2 – Bozuk kimlik doğrulaması
    • Oturum taşıma tehditleri
    • Oturumun en iyi uygulamaları
    • Çerez niteliklerini ayarlama – en iyi yöntemler
    • Örnek olay – Danimarka online bankacılıkta kimlik doğrulama sorunları
      • Danske Bank web sitesi hata ayıklama modu bilgileri sızıntısı
      • Danske Bank seansı sızıntısı ve potansiyel kaçırılma açığı
    • Web sitesi isteği sahteciliği (CSRF)
      • Giriş CSRF
      • CSRF önleme

GÜVENLİ KODLAMA MASTER KURSU 2. GÜN PROGRAMI

• Web uygulaması güvenliği (OWASP Top Ten 2017)
  • A3 – Hassas veri pozlaması
    • Hassas veri pozlama
    • Örnek olay – Ödeme kartlarına karşı dağıtılmış tahmin saldırısı
      • Çevrimiçi ödeme sistemlerinde bilgi sızıntısı zayıflıkları
      • Pratik tahmin saldırısı
      • Gerçek dünya sömürüsü ve karşı önlemler
    • Taşıma katmanı Güvenliği
      • HTTPS’yi zorlamak
  • A4 – XML ​​harici varlık (XXE)
    • XML Varlığı tanıtımı
    • XML dış varlık saldırısı (XXE) – kaynak eklenmesi
    • XML harici varlık saldırısı – URL çağrısı
    • XML harici varlık saldırısı – parametre varlıkları
    • Egzersiz – XXE saldırısı
    • Örnek olay – Google Araç Çubuğunda XXE
    • Örnek olay – XGI TGI Cuma sipariş sisteminde
      • Güvenlik açığını belirleme: XML olarak işlenen JSON girişi
  • A5 – Bozuk erişim kontrolü
    • Tipik erişim kontrolü zayıflıkları
    • Güvenli olmayan doğrudan nesne başvurusu (IDOR)
    • Egzersiz – Güvensiz doğrudan nesne referansı
    • İDOR’a karşı koruma
    • Vaka çalışması – Facebook notları
    • Egzersiz – Yetkilendirme bypass
  • A6 – Güvenlik yanlış yapılandırması
    • Çevreyi yapılandırma
    • Güvenli olmayan dosya yüklemeleri
    • Alıştırma – Yürütülebilir dosyaların yüklenmesi
    • Dosya yüklemelerini filtreleme – doğrulama ve yapılandırma
  • A7 – Siteler Arası Komut Dosyası (XSS)
    • Kalıcı XSS
    • Yansıyan XSS
    • DOM tabanlı XSS
    • Egzersiz – Çapraz Site Komut Dosyası
    • Sömürü: CSS enjeksiyonu
    • Sömürü: etiketi enjekte etmek
    • Egzersiz – Baz etiketi ile HTML enjeksiyonu
    • XSS önleme
  • A8 – Güvensiz serileştirme
    • Deserialization temelleri
    • Serileştirmenin güvenlik sorunları
    • Serileştirme ile ilgili sorunlar – JSON
  • A9 – Bilinen güvenlik açıkları olan bileşenleri kullanma
    • Güvenlik açığı özellikleri
    • Ortak Güvenlik Açığı Puanlama Sistemi – CVSS
  • A10 – Yetersiz kayıt ve izleme
    • Algılama ve tepki
    • Kayıt ve log analizi
    • Saldırı tespit sistemleri ve Web uygulaması güvenlik duvarları
• İstemci tarafı güvenliği
  • JavaScript güvenliği
  • Aynı Menşe Politikası
  • Kökeni Kaynak Paylaşımı (CORS)
  • Egzersiz – İstemci tarafı kimlik doğrulaması
  • İstemci tarafı kimlik doğrulama ve şifre yönetimi
  • JavaScript kodunu koruma
  • Clickjacking
    • Clickjacking
    • Egzersiz – Beni seviyor musun?
    • Clickjacking’e karşı koruma
    • Anti frame-busting – koruma komut dosyalarını reddetme
    • Yıpranma çerçevesinin sıkışmasına karşı koruma
  • AJAX güvenliği
    • AJAX’ta XSS
    • AJAX’te komut dosyası enjeksiyon saldırısı
    • Egzersiz – AJAX’ta XSS
    • Ajax’te XSS koruması
    • AJAX’ta CSRF Alıştırma – JavaScript’i ele geçirme
    • AJAX’ta CSRF koruması
  • HTML5 güvenliği
    • HTML5’te yeni XSS olanakları
    • HTML5 tıklama saldırısı – metin alanı enjeksiyonu
    • HTML5 clickjacking – içerik çıkarma
    • Form kurcalamak
    • Alıştırma – Form kurcalama
    • Çapraz kaynaklı istekler
    • Çapraz kaynaklı istekle birlikte HTML proxy’si
    • Egzersiz – Müşteri tarafı dahil
• Güvenlik mimarisi
  • (platform ve teknolojiye bağlı konular)
  • Uygulama seviyesi erişim kontrolü
    • (izinler, kum havuzu)
  • Kullanıcı seviyesi erişim kontrolü
    • Doğrulama
    • Yetki

GÜVENLİ KODLAMA MASTER KURSU 3. GÜN PROGRAMI

• Güvenli iletişimin gerekleri
  • Güvenlik seviyeleri
  • Güvenli bildirim
    • Kötü niyetli mesaj emilimi
      • Güvenli kabulün uygulanabilirliği
      • Çözüm: Takas Merkezleri
    • Yanlış mesaj kaybı
  • Bütünlük
    • Hata tespiti – Yanlış mesaj bozulması (gürültü)
      • Modelleme mesaj bozulması
      • Hata bulma ve düzeltme kodları
    • Özgünlük – Kötü amaçlı mesaj işleme
      • Modelleme mesaj manipülasyonu
      • Pratik bütünlük koruması (algılama)
    • İnkar edilemez
      • İnkar edilemez
    • özet
      • Bütünlük ihlalini tespit etme
  • Gizlilik
    • Şifreli iletişim modeli
    • Uygulamada şifreleme yöntemleri
    • Şifreleme algoritmalarının gücü
  • Uzaktan tanımlama
    • Uzaktan tanımlama gereksinimleri
  • Anonimlik ve trafik analizi
    • Anonim iletişim modeli
    • Trafik analizi
    • Trafik analizine karşı teorik olarak güçlü koruma
    • Trafik analizine karşı pratik koruma
  • özet
    • Gereksinimler arasındaki ilişki
• Pratik şifreleme
  • Uygulama kriptografisinin 1. numaralı kuralı
  • Kriptosistemler
    • Bir şifreleme sisteminin elemanları
  • Simetrik anahtar şifreleme
    • Simetrik kriptografi ile gizlilik sağlanması
    • Simetrik şifreleme algoritmaları
    • Operasyon modları
  • Diğer şifreleme algoritmaları
    • Karma veya mesaj özeti
    • Karma algoritmalar
    • Shattered
    • Mesaj Doğrulama Kodu (MAC)
    • Simetrik anahtarla bütünlük ve özgünlük sağlama
    • Rasgele sayılar ve şifreleme
    • Kriptografik olarak güçlü PRNG’ler
    • Donanım tabanlı TRNG’ler
  • Asimetrik (genel anahtar) kriptografi
    • Genel anahtar şifrelemeyle gizlilik sağlama
    • Başparmak kuralı – özel anahtar bulundurma
    • RSA algoritması
      • RSA algoritmasına giriş
      • RSA ile şifreleme
      • Simetrik ve asimetrik algoritmaları birleştirmek
      • RSA ile dijital imzalama
  • Genel Anahtar Altyapısı (PKI)
    • İnsansı Ortadaki (MitM) saldırı
    • MitM saldırısına karşı dijital sertifikalar
    • Ortak Anahtar Altyapısında Sertifika Yetkilileri
    • X.509 dijital sertifikası
• Kripto kütüphaneleri ve API’ları

GÜVENLİ KODLAMA MASTER KURSU 4. GÜN PROGRAMI

• Güvenlik protokolleri
  • SSL / TLS protokolleri
    • Güvenlik Servisi
    • SSL / TLS el sıkışma
  • Protokol düzeyinde güvenlik açıkları
    • BEAST
  • Origami saldırıları doldurma
    • Uyarlanmış seçilmiş şifreli metin saldırıları
    • Padding oracle saldırısı
    • CBC şifre çözme
    • Dolgu oracle örneği
    • KANİŞ
• Giriş doğrulama
  • Giriş doğrulama kavramları
  • Tamsayı problemleri
    • Negatif tamsayıların gösterimi
    • Tamsayı taşması
    • Tamsayı problemi – en iyi uygulamalar
      • Tamsayı problemi – en iyi uygulamalar
    • Örnek olay – Stokholm Borsasında tamsayı taşması
      • Hisse senedi satın alırken tam tersi sarma sorunu
  • Yol geçişi açığı
    • Yol geçişi – en iyi uygulamalar
    • Örnek çalışma – LastPass’te yetersiz URL doğrulaması
  • Onaylanmamış yönlendirmeler ve iletmeler
  • Giriş dövme
    • Günlük dosyaları ile diğer bazı tipik sorunlar
  • (bazı ek platform ve teknolojiye bağlı konular)
• Web servislerinin güvenliği
  • Web servislerini güvence altına almak – iki genel yaklaşım
  • SOAP – Basit Nesne Erişim Protokolü
  • RESTful web servislerinin güvenliği
    • RESTful web hizmetlerinde kullanıcıları doğrulama
    • JSON Web Jetonları ile Kimlik Doğrulama (JWT)
    • REST ile yetkilendirme
    • REST ile bağlantılı güvenlik açıkları
  • XML güvenliği
    • Giriş
    • XML ayrıştırma
    • XML enjeksiyonu
      • (Ab) XML’de XSS yükünü depolamak için CDATA’yı kullanma
      • Egzersiz – XML ​​enjeksiyonu
      • Sanitizasyon ve XML doğrulama yoluyla koruma
      • XML bomba
      • Egzersiz – XML ​​bomba
  • JSON güvenliği
    • JSON ayrıştırma
    • JSON sunucu tarafını katıştırma
    • JSON enjeksiyonu
    • JSON kaçırma
    • Vaka çalışması – XSS sahte JSON elemanı ile
• Güvenlik özelliklerinin yanlış kullanımı
  • Güvenlik özelliklerinin kullanımıyla ilgili tipik sorunlar
  • Güvensiz rastgelelik
    • Örnek olay – Equifax hesabı donduru PIN kodu üretimi
    • Örnek olay – Tesco Bank dolandırıcılık
      • Sahtekarlık deterministik kart numarası üretimi
  • Şifre yönetimi
    • Egzersiz – Karma şifrelerin zayıflığı
    • Şifre yönetimi ve depolama
    • Parola depolama için özel amaçlı karma algoritmalar
    • Örnek olay – Ashley Madison veri ihlali
      • Loginkey belirteci
      • Brute zorla şifreleri ortaya çıkarmak
    • Şifre yönetiminde tipik hatalar
  • Örnek olay – Equifax şifre yönetimi sorunları
• Nesne-ilişkisel haritalama (ORM) güvenliği