| Başlık | Web Uygulama Güvenliği ve Sızma Testleri |
| Öğrenci | Hayır |
| Yazar(lar) |
Yazar 1 Name: Mehmet İnce Org: Country: TR E-mail: mehmet_AT_mehmetince.net Yazar 2 Name: Ayşe Bilge Gündüz Org: Yıldız Teknik Üniversitesi Country: TR E-mail: aysebilgegunduz_AT_gmail.com Yazar 3 Name: Barkın Kılıç Org: Country: TR E-mail: barkin_AT_barkin.info |
| Anahtar Kelimeler | web uygulama güvenliği, penatrasyon testi, güvenli kod geliştirme |
| Özet | 4 gün sürecek bu uygulamalı eğitimde katılımcılara, web uygulamalarına saldırgan açısından bakma yetisinin kazandırılması amaçlanmaktadır. Eğitim içerisinde web uygulamalarına karşı sızma testleri gerçekleştirilmesinin adımları ve teknik detayları yer alacaktır. Eğitim içerisinde ele alınan tüm konular hem saldırgan, hemde savunan taraf açısında ele alınarak işlenecektir. Bu nedenle içerik listesindeki her konu üzerinde güvenli kod geliştirme ve savunma teknikleride ele alınmış olacaktır. Kurs Ön Gereksinimleri -Herhangi bir web programlama diline hakim olmak -Temel düzey linux bilgisi Katılımcılardan Kurs Öncesi Beklenenler -Herhangi bir Linux dağıtımı üzerine VirtualBox sanallaştırma yazılımının kurulu halde kullanıma hazır olması. İçerik - Web Teknolojilerine Giriş - HTTP protokolüne Giriş - Client - Sunucu - Veri tabanı sistemi - İlişkisel veri tabanı sistemleri - Veri tabanı davranışlarının saldırgan gözünden analizi - Web uygulamaları ile ilişkili network cihazları ve amaçları - Load balancer - IPS/IDS - WAF - HTTP ( Hypertext Transfer Protocol ) - HTTP metodları - GET, POST, HEAD, OPTIONS, PUT, DELETE, TRACE, CONNECT - HTTP methodlarının güvenliği - HTTP başlık bilgileri - Host, Useragent - ContentType - Xforwardedfor, ... - HTTP request response yaşam döngüsü - HTML ( HyperText Markup Language ) - Temel HTML bilgisi - Encoding teknikleri - Web Uygulama Güvenlik Testlerine Giriş - Input kavramı - Güvenlik testlerinde proxy kavramı ve önemi - Proxy kullanımı - Firefox ve gerekli eklentilerin kurulumu - Kullanıcı taraflı kontrollerin aşılması - OWASP ve Web Uygulama Güvenlik Açıkları - Injection Saldırıları - SQL Injection nedir - SQL Injection saldırıları ve tipleri - Errorbased - Blind - Timebased - SQLMap kullanımı - SQL Injection korunma yöntemleri - Command Injection saldırıları - CrossSite Scripting (XSS) - XSS nedir - XSS saldırıları ve tipleri - Reflected XSS - Stored XSS - Dom based XSS - XSS zafiyetinden korunma yöntemleri - XSS saldırı senaryoları - Cookie Sniffing - JS keylogger - Browser Exploitation - Zararlı dosya yükleme saldırıları - CSRF Saldırıları - IDOR - Oturum ve yetkilendirme zafiyetleri - Hassas veri ifşası - Doğrulanmamış yönlendirme zafiyetleri - Yanlış Güvenlik Yapılandırılması - Bilinen zafiyetli bileşenleri kullanma - Hassas bilgi kavramı - HTTPS - Veri tabanı sistemlerinde kritik verilerin saklanması - Kriptoloji - Encode - Hash - Encryption - Password Cracking - Rainbow table - Bruteforce teknikleri NOT: Eğitimin son günü, eğitmenler tarafından hazırlanmiş olan web ortamında "Capture the Flag" yarışması düzenlenecektir. Limit: 50 kişi |
| Başlıklar | AB-Kurs |
| Dosya |
 |