Web Uygulamaları Güvenlik Denetim Eğitimi

Amaç

Web uygulamaları dağıtım kolaylığı nedeniyle masaüstü uygulamalara üstünlük sağlamış ve geniş uygulama alanı bulmuştur. Bunun yanı sıra internete açık olan uygulamaların önemli bir kısmı da web uygulaması şeklindedir. Web uygulaması olmayan masaüstü uygulamalar ve mobil uygulamalar dahi web uygulama mimarisinin önemli bir kısmı olan HTTP protokolünü kullanmaktadır.

Bunların yanı sıra web uygulamaları çok katmanlı mimariye sahip olup, bu durum nispeten web uygulama altyapılarının sıradan masaüstü uygulamalara nazaran karmaşık olmalarına neden olmaktadır.

Tüm bu nedenlerden dolayı web uygulamaları saldırganların gözde hedeflerinden birisidir.

Web uygulama denetimi eğitiminde katılımcılara web uygulamalarında ortaya çıkabilecek açıklıkların neler olduğu, bu açıklıkları nasıl tespit edebilecekleri ve açıklıkların ortadan kaldırılma yöntemleri aktarılmaktadır.

Web uygulama denetimi eğitimi, mobil uygulama denetimi yapacak katılımcılara da gerekli temel web teknolojileri bilgilerini aktarmayı hedeflemektedir.

Ön Koşullar

Katılımcıların web teknolojileri (HTML, Javascript, bir web uygulama geliştirme dili gibi) ve veritabanı teknolojileri (SQL cümle yapısı gibi) ile ilgili temel bilgi  sahibi olmaları gerekmektedir.

Katılımcılar

Web uygulamalarına yönelik güvenlik denetimi yapan bilgi güvenliği uzmanları ve denetçiler, web uygulama güvenlik tehditlerini ve gerekli kontrolleri öğrenmek isteyen yazılım geliştirme personeli, güvenlik operasyon ve olay müdahale ekibi personeli, web uygulamaları tedarikçi yöneticileri eğitime katılabilir.

İçerik

Web Uygulama Güvenliği Denetimi Eğitimi

  • Web Uygulama Mimarisi
    • Taracıyı
      • HTML
        • Önemli HTML Tagleri
          • Html
          • Head
          • Body
          • Table, tr, td
          • Div
          • Style
          • Form
          • Input
          • Script
          • Anchor (A)
          • Img
          • Object
          • Meta
        • HTML Encoding
      • Javascript
        • Encode
        • Obfuscate
        • Minify-Beautify Etme
        • Javascript Debug Etme
        • Jquery       
      • CSS ve Diğer Dosyalar
    • Web Sunucusu
      • Applet        
    • Uygulama Sunucusu
    • Veri Tabanları ve Diğer Sistemler
  • Ağ Servis Uygulamaları
    • TCP/IP Modeli
    • UDP
    • Basit http Servis Örneği
    • DNS
  • HTTP Protokolü
    • Metodlar
    • Statü Kodları
      • Güvenlik Açısından Önemli Yanıt Başlıkları
    • Kullanıcı Tanılama Yöntemleri(Basic, NTML, vb.)
    • Başlıklar
      • Cookie ve Kullanımı
  • HTTPS Protokolü
    • Kriptografi Kavramları
    • Simetrik ve Asimetrik Kriptolama
    • Hibrit Kriptolama (SSL)
    • Sertifika’nın Teknik Tanımı
    • Sertifika Kontrolleri
    • Man In the Middle(MITM) yöntemleri
  • Web Sunucu Katmanına Yönelik Saldırılar
  • XSS (Cross Site Scripting) Açıklıkları
    • Yansıtılan(Reflected) XSS Açıklıkları
    • Saklanan(Stored) XSS Açılıkları
    • DOM Tabanlı XSS Açılıkları
  • Erişim Kontrol Açıklıkları
    • Dikey Erişim İhlali
    • Yatay Erişim İhlali
    • Geçerli Kullanıcı Belirleme
    • Diğer Erişim Kontrol Açıklıkları
    • Statik İçeriklere Doğrudan Erişim
  • Dizin Aşım Açıklıkları
  • İstemci Taraflı Kontrollerin Aşılması
  • Local/Remote File Inclusion
  • Uygulama Sunucu Yönetim Açıklıkları
  • Oturum Yönetim Açıklıkları
    • Session Fixation
    • Oturum Parametre Rassallık Analizi
    • Güvenli Çıkış Fonksiyon Hataları
  • Cookie Riskleri
    • Cookie Özellikleri
    • Kalıcı Cookie
  • File Upload Riskleri
  • CSRF Saldırıları
  • Redirection Açıklıkları
  • URL ve Referer Başlıkları
  • HTML Comment
  • Uygulama Sunucu Katmanı İnjection Açıklıkları
    • (İşletim Sistemi) Command Injection
    • Kod Injection
  • SQL Injection Saldırıları
    • SQL Injection Mantığı
    • Blind SQL Injeciton
    • Sqlmap Kullanımı
  • XPATH, LDAP, SMTP Injection
  • Web Servisleri
    • SOAP Injection
  • Mantık Hataları ve Kötüye Kullanım Senaryoları
    • Mesaj Gönderme Fonksiyonun İstenmeyen Mesajlar Üretmesi
    • Dosya Yükleme Hataları
    • Kaynak Tüketen Fonksiyon
    • Dikey Erişim İhlali
    • Yatay Erişim İhlali
    • Geçerli Kullanıcı Belirleme
    • İçeriklere Erişim
    • Yetersiz Parola Politikası
  • Jmeter ile Yük Testi (DDOS Saldırı Yöntemi)
  • İşletim Sistemini Ele Geçirme
    • SQL Injection ile
    • Dizin Aşım Açıklığı ile
    • File Upload ile
  • Web Uygulamaları Güvenlik Denetim Metodolojisi
    • Uygulama İçeriğinin Haritalanması
    • Uygulama Fonksiyonalite ve Teknoloji Analizi
    • Oturum Yönetim Testleri
    • Kullanıcı Tanılama Testleri
    • İstemci Taraflı Kontrollerin Aşılması
    • Erişim Kontrol Testleri
    • Tüm Parametrelerin Fuzz Edilmesi
    • Uygulamaya Özgü Saldırı Testleri
    • Mantık Hataları
    • Diğer Sunucu Katmanı Testleri
  • Güvenli Yazılım Geliştirme Metodolojileri
    • Touchpoints, SDL, CLASP
    • Fonksiyonalite ve Risk Analizi
  • Burp Suit Modüllerinin Kullanımı
    • Target
    • Proxy Settings
    • Proxy History
    • Spider
    • Scanner
    • Intruder
    • Repeater
    • Sequencer
    • Decoder
    • Comparer
    • Extender
    • Backend Tarama
    • Macro Kullanımı
      • CSRF Kontrolünün Aşılması
      • Sınırlı Kontrollerin Aşılması
Süre / Yer

Süre: 3 gün

Yer: İstanbul