WEB UYGULAMALARI GÜVENLİK UZMANI KURSU

Bir geliştirici olarak, göreviniz kurşun geçirmez kod yazmaktır. Ancak…

Bütün çabalarınıza rağmen, kariyerinizin tamamını yazdığın kodun, varlığından hiç haberiniz olmadığın zaaflarla dolu olduğunu söylediysek? Ya okuduğunuz gibi, hackerlar kodunuza girmeye çalışıyorlarsa? Ne kadar başarılı olacaklar?

Bu gelişmiş kurs, kodda gördüğünüz yolu değiştirecektir. Size tüm saldırganların hilelerini ve onları nasıl azaltacağınızı öğretecek, daha fazlasını bilme arzusundan başka bir his bırakmayacak bir uygulamalı eğitim.

Paketin önünde olmak ve siber suçlarla mücadelede bir oyun değiştirici olarak görülmek sizin seçiminizdir.

BU KURSA KATILACAK KATILIMCILAR

• Güvenlik, BT güvenliği ve güvenli kodlamanın temel kavramlarını anlar.
• OWASP Top Ten’in ötesindeki Web açıklarını öğrenin ve bunlardan nasıl sakınacağınızı öğrenin
• XML güvenliği hakkında bilgi edinin
• İçerik Güvenliği Politikasını Anlama
• İstemci tarafında güvenlik açıklarını ve güvenli kodlama uygulamalarını öğrenin
• Hizmet ataklarını ve korumaları reddetme hakkında bilgi edinin.
• Web servislerinin güvenlik kavramlarını anlama
• JSON güvenliği hakkında bilgi edinin
• Pratik bir kriptografi anlayışına sahip olmak
• Temel güvenlik protokollerini anlama
• Kriptosistemlere yönelik bazı son saldırıları anlayın
• Tipik kodlama hataları ve bunların nasıl önleneceği hakkında bilgi edinin.
• Java çerçevesindeki bazı yeni güvenlik açıkları hakkında bilgi edinin.
• SDLC’deki güvenlik hususlarını anlama
• Güvenlik testi yaklaşımlarını ve metodolojilerini anlama
• Güvenlik testi teknikleri ve araçları kullanma konusunda pratik bilgi edinin
• Dağıtım ortamını güvenli bir şekilde nasıl kurup çalıştıracağınızı öğrenin
• Güvenli kodlama uygulamaları hakkında kaynakları ve daha fazla okuma alın

KURS AJANDASI

• BT güvenliği ve güvenli kodlama
• Web uygulaması güvenliği (OWASP Top Ten 2017)
• İçerik güvenliği politikası
• İstemci tarafı güvenliği
• Hizmet reddi
• Pratik şifreleme
• Güvenlik protokolleri
• Genel kodlama hataları ve güvenlik açıkları
• Yazılım geliştirme yaşam döngüsünde güvenlik
• Güvenlik testi
• Güvenlik testi metodolojisi
• Güvenlik testi teknikleri ve araçları
• Dağıtım ortamı
• Güvenlik ilkeleri ve güvenli kodlama
• Bilgi kaynakları

WEB UYGULAMALARI GÜVENLİK UZMANI KURSU
1. GÜN PROGRAMI

• BT güvenliği ve güvenli kodlama
  • Güvenlik doğası
  • Risk nedir?
  • BT güvenliği vs. güvenli kodlama
  • Güvenlik açıklarından botnetlere ve siber suçlara kadar
    • Güvenlik kusurlarının doğası
    • Zorluk nedenleri
    • Enfekte bir bilgisayardan hedefe yönelik saldırılara
  • Güvenlik kusurlarının sınıflandırılması
    • Landwehr’in taksonomisi
    • Yedi Pernicious Krallık
    • OWASP Top Ten 2017
• Web uygulaması güvenliği (OWASP Top Ten 2017)
  • A1 – Enjeksiyon
    • Enjeksiyon prensipleri
    • SQL enjeksiyonu
      • Egzersiz – SQL enjeksiyonu
      • Tipik SQL Enjeksiyon saldırı yöntemleri
      • Kör ve zaman tabanlı SQL enjeksiyonu
      • SQL enjeksiyon koruma yöntemleri
      • Java’da veri depolama çerçevelerinin SQL enjeksiyonu üzerindeki etkisi
    • Diğer enjeksiyon kusurları
      • Komuta enjeksiyon
      • Örnek olay – ImageMagick
  • A2 – Bozuk kimlik doğrulaması
    • Oturum taşıma tehditleri
    • Oturumun en iyi uygulamaları
    • Java’da oturum yönetimi
    • Çerez niteliklerini ayarlama – en iyi yöntemler
    • Web sitesi isteği sahteciliği (CSRF)
      • CSRF önleme
      • Java çerçevelerinde CSRF önleme
  • A3 – Hassas veri pozlaması
    • Hassas veri pozlama
    • Taşıma katmanı Güvenliği
      • HTTPS’yi zorlamak
  • A4 – XML ​​harici varlık (XXE)
    • XML Varlığı tanıtımı
    • XML dış varlık saldırısı (XXE) – kaynak eklenmesi
    • XML harici varlık saldırısı – URL çağrısı
    • XML harici varlık saldırısı – parametre varlıkları
    • Egzersiz – XXE saldırısı
    • Kurumla ilgili saldırıları önleme
    • Örnek olay – Google Araç Çubuğunda XXE
  • A5 – Bozuk erişim kontrolü
    • Tipik erişim kontrolü zayıflıkları
    • Güvenli olmayan doğrudan nesne başvurusu (IDOR)
    • Egzersiz – Güvensiz doğrudan nesne referansı
    • İDOR’a karşı koruma
    • Vaka çalışması – Facebook notları
  • A6 – Güvenlik yanlış yapılandırması
    • Güvenlik yanlış yapılandırması
    • Çevreyi yapılandırma
    • Güvenli olmayan dosya yüklemeleri
    • Alıştırma – Yürütülebilir dosyaların yüklenmesi
    • Dosya yüklemelerini filtreleme – doğrulama ve yapılandırma

WEB UYGULAMALARI GÜVENLİK UZMANI KURSU
2. GÜN PROGRAMI

• • Web uygulaması güvenliği (OWASP Top Ten 2017)
    • A7 – Siteler Arası Komut Dosyası (XSS)
      • Kalıcı XSS
      • Yansıyan XSS
      • DOM tabanlı XSS
      • Egzersiz – Çapraz Site Komut Dosyası
      • XSS önleme
      • Java ve JSP’deki XSS önleme araçları
    • A8 – Güvensiz serileştirme
      • Deserialization temelleri
      • Serileştirmenin güvenlik sorunları
      • Java’da serileştirme
      • Serileştirmeden kod yürütmeye
      • Apache Commons gadget’ını (Java) hedefleyen POP yükü
      • Serileştirme güvenlik açıklarının gerçek dünya Java örnekleri
      • Serileştirme ile ilgili sorunlar – JSON
      • Serileştirme güvenlik açıklarına karşı en iyi uygulamalar
    • A9 – Bilinen güvenlik açıkları olan bileşenleri kullanma
    • A10 – Yetersiz kayıt ve izleme
      • Algılama ve tepki
      • Kayıt ve log analizi
      • Saldırı tespit sistemleri ve Web uygulaması güvenlik duvarları
  • İçerik güvenliği politikası
    • Direktifleri
    • Kaynaklar
    • Uzantıları
  • İstemci tarafı güvenliği
    • JavaScript güvenliği
    • Aynı Menşe Politikası
    • Kökeni Kaynak Paylaşımı (CORS)
    • Egzersiz – İstemci tarafı kimlik doğrulaması
    • İstemci tarafı kimlik doğrulama ve şifre yönetimi
    • JavaScript kodunu koruma
    • Clickjacking
      • Clickjacking
      • Egzersiz – Beni seviyor musun?
      • Clickjacking’e karşı koruma
      • Anti frame-busting – koruma komut dosyalarını reddetme
      • Yıpranma çerçevesinin sıkışmasına karşı koruma
    • AJAX güvenliği
      • AJAX’ta XSS
      • AJAX’te komut dosyası enjeksiyon saldırısı
      • Egzersiz – AJAX’ta XSS
      • Ajax’te XSS koruması
      • AJAX’ta CSRF Alıştırma – JavaScript’i ele geçirme
      • AJAX’ta CSRF koruması
    • HTML5 güvenliği
      • HTML5’te yeni XSS olanakları
      • İstemci tarafı kalıcı veri depolama
      • HTML5 tıklama saldırısı – metin alanı enjeksiyonu
      • HTML5 clickjacking – içerik çıkarma
      • Form kurcalamak
      • Alıştırma – Form kurcalama
      • Çapraz kaynaklı istekler
      • Çapraz kaynaklı istekle birlikte HTML proxy’si
      • Egzersiz – Müşteri tarafı dahil
  • Hizmet reddi
    • DoS giriş
    • Asimetrik DoS
    • SSL / TLS yeniden müzakere DoS
    • JSON serileştirme ile asimetrik DOS
    • Düzenli ifade DoS (ReDoS)
      • Egzersiz ReDoS
      • ReDoS azaltma
      • Örnek olay – Yığın Değişiminde ReDos
    • Hashtable çarpışma saldırısı
      • Girdileri saklamak için karma kullanmanın kullanılması
      • Hashtable çarpışma
      • Java’da karma çakışma
    • XML güvenliği
      • Giriş
      • XML ayrıştırma
    • XML enjeksiyonu
      • (Ab) XML’de XSS yükünü depolamak için CDATA’yı kullanma
      • Egzersiz – XML ​​enjeksiyonu
      • Sanitizasyon ve XML doğrulama yoluyla koruma
      • XML bomba
      • Egzersiz – XML ​​bomba
    • JSON güvenliği
      • JSON ayrıştırma
      • JSON sunucu tarafını katıştırma
      • JSON enjeksiyonu
      • JSON kaçırma
      • Vaka çalışması – XSS sahte JSON elemanı ile

WEB UYGULAMALARI GÜVENLİK UZMANI KURSU
3. GÜN PROGRAMI

• Pratik şifreleme
  • Uygulama kriptografisinin 1. numaralı kuralı
  • Kriptosistemler
    • Bir şifreleme sisteminin elemanları
  • Simetrik anahtar şifreleme
    • Simetrik kriptografi ile gizlilik sağlanması
    • Simetrik şifreleme algoritmaları
    • Operasyon modları
  • Diğer şifreleme algoritmaları
    • Karma veya mesaj özeti
    • Karma algoritmalar
    • Shattered
    • Mesaj Doğrulama Kodu (MAC)
    • Simetrik anahtarla bütünlük ve özgünlük sağlama
    • Rasgele sayılar ve şifreleme
    • Kriptografik olarak güçlü PRNG’ler
    • Donanım tabanlı TRNG’ler
  • Asimetrik (genel anahtar) kriptografi
    • Genel anahtar şifrelemeyle gizlilik sağlama
    • Başparmak kuralı – özel anahtar bulundurma
    • RSA algoritması
      • RSA algoritmasına giriş
      • RSA ile şifreleme
      • Simetrik ve asimetrik algoritmaları birleştirmek
      • RSA ile dijital imzalama
  • Genel Anahtar Altyapısı (PKI)
    • İnsansı Ortadaki (MitM) saldırı
    • MitM saldırısına karşı dijital sertifikalar
    • Ortak Anahtar Altyapısında Sertifika Yetkilileri
    • X.509 dijital sertifikası
  • Güven Web (WoT)
    • Güven Web (WoT) – giriş
    • WoT örneği
    • Güven Ağının Zorlukları
• Güvenlik protokolleri
  • SSL / TLS protokolleri
    • Güvenlik Servisi
    • SSL / TLS el sıkışma
  • Protokol düzeyinde güvenlik açıkları
    • BEAST
    • FREAK
    • FREAK – SSL / TLS’ye karşı saldırı
    • Logjam saldırısı
  • Origami saldırıları doldurma
    • Uyarlanmış seçilmiş şifreli metin saldırıları
    • Padding oracle saldırısı
    • CBC şifre çözme
    • Dolgu oracle örneği
    • Şanslı onüç
    • KANİŞ
• Genel kodlama hataları ve güvenlik açıkları
  • Giriş doğrulama
    • Giriş doğrulama kavramları
    • Tamsayı problemleri
      • Negatif tamsayıların gösterimi
      • Tamsayı taşması
      • Egzersiz IntOverflow
      • Math.abs (Integer.MIN_VALUE) değeri nedir?
      • Tamsayı problemi – en iyi uygulamalar
    • Yol geçişi açığı
      • Yol geçişi – en iyi uygulamalar
    • Onaylanmamış yönlendirmeler ve iletmeler
    • Giriş dövme
      • Günlük dosyaları ile diğer bazı tipik sorunlar

WEB UYGULAMALARI GÜVENLİK UZMANI KURSU
4. GÜN PROGRAMI

• Genel kodlama hataları ve güvenlik açıkları
  • Güvenlik özelliklerinin yanlış kullanımı
    • Güvenlik özelliklerinin kullanımıyla ilgili tipik sorunlar
    • Güvensiz rastgelelik
      • Java’da zayıf PRNG’ler
      • Egzersiz Rastgele Testi
      • Java’da rasgele sayıları kullanma – hatayı tespit edin!
    • Şifre yönetimi
      • Egzersiz – Karma şifrelerin zayıflığı
      • Şifre yönetimi ve depolama
      • Kaba kuvvetlendirme
      • Parola depolama için özel amaçlı karma algoritmalar
      • Java’da Argon2 ve PBKDF2 uygulamaları
      • Java’da bcrypt ve scrypt uygulamaları
      • Örnek olay – Ashley Madison veri ihlali
      • Şifre yönetiminde tipik hatalar
      • Egzersiz – Sabit şifreli şifreler
    • Yetersiz otomasyon
      • Captcha
      • Captcha zayıflıkları
    • Erişilebilirlik değiştiricileri
      • Java’da yansımasıyla özel alanlara erişme
      • Egzersiz Yansıtma – Yansıma ile özel alanlara erişme
    • Egzersiz ScademyPay – Bütünlük koruma zayıflığı
  • Uygunsuz hata ve istisna işleme
    • Hata ve istisna işlemiyle ilgili tipik sorunlar
    • Boş catch bloğu
    • Aşırı geniş atar
    • Aşırı geniş yakalama
    • Çoklu yakalamayı kullanma
    • NullPointerException’ı yakalamak
    • İstisna işleme – hata nokta!
    • Egzersiz ScademyPay – Hata işleme
  • Zaman ve durum problemleri
    • Zaman ve devletle ilgili problemler
    • Eşzamanlılık – hata nokta!
    • Thread.run () çağrısı
    • Servlet’te yarış durumu – hatayı görün!
    • Yarış durumu – hata nokta!
    • ArrayList vs Vector
  • Kod kalitesi sorunları
    • Kötü kod kalitesinden kaynaklanan tehlikeler
    • Kötü kod kalitesi – hatayı görün!
    • Yayınlanmamış kaynaklar
    • Özel diziler – hatayı görün!
    • Özel diziler – yazılı alan genel yöntemle döndürüldü
    • Egzersiz Nesnesi Hijack
    • Nihai nesne ele geçirme olmadan kamu yöntemi
    • Serileştirme – hatayı bul!
    • Egzersiz Serileştirilebilir Hassas
    • Ölümsüz String – hatayı görün!
    • Egzersiz Ölümsüz Dizeleri
    • Çekilebilirlik ve güvenlik
• Yazılım geliştirme yaşam döngüsünde güvenlik
  • Vade Modelinde Bina Güvenliği (BSIMM)
  • Yazılım Güvencesi Vade Modeli (SAMM)
  • Microsoft Güvenlik Geliştirme Yaşam Döngüsü (SDL)
    • Microsoft Güvenlik Geliştirme Yaşam Döngüsü (SDL)
    • SDL Öncesi Gereksinimler: Güvenlik Eğitimi
    • Birinci Aşama: Gereksinimler
    • İkinci Aşama: Tasarım
    • Üçüncü Aşama: Uygulama
    • Faz Dört: Doğrulama
    • Beşinci Aşama: Serbest Bırakma
    • SDL sonrası Gereksinim: Yanıt
    • LOB Apps için SDL Süreç Kılavuzu
    • Çevik Metodolojiler için SDL Rehberi
• Güvenlik testi
  • Fonksiyon testi ve güvenlik testi
  • Güvenlik açıkları
  • Önceliklendirme – risk analizi
  • SDLC’de güvenlik
  • Çeşitli SDLC fazlarında güvenlik değerlendirmeleri

WEB UYGULAMALARI GÜVENLİK UZMANI KURSU
5. GÜN PROGRAMI