Azerbaycan Certified C# and Web application security Eğitimi

.NET web uygulamaları yazmak oldukça karmaşık olabilir; nedenleri arasında eski teknolojilerle veya yetersiz belgelenmiş üçüncü taraf bileşenlerle uğraşmaktan keskin teslim tarihlerine ve kod sürdürülebilirliğine kadar uzanır. Ancak, tüm bunların ötesinde, saldırganların şu anda kodunuza girmeye çalıştığını söylesek? Başarılı olma olasılıkları ne kadar olurdu?

Bu eğitim, C# kodunuza bakış açınızı değiştirecek. Size, bilgisayar korsanlarının sisteminize saldırmasına izin verebilecek yaygın zayıflıkları ve bunların sonuçlarını ve daha da önemlisi, kendinizi korumak için uygulayabileceğiniz en iyi uygulamaları öğreteceğiz. Size, kriptografi veya Kod Erişim Güvenliği kullanımı gibi .NET çerçevesinin güvenlik yönleri ve farkında olmanız gereken yaygın C# programlama hataları hakkında bütünsel bir bakış açısı sunuyoruz. Ayrıca, CLR'den modern AJAX ve HTML5 tabanlı ön uçlara kadar tüm yığında ASP.NET web uygulamalarını nasıl etkilediklerine odaklanarak tipik Web güvenlik açıklarını da ele alıyoruz. "Certified C# and Web application security" eğitimini ilgi çekici ve eğlenceli tutmak için canlı pratik alıştırmalarla sunuyoruz.

Güvenli kod yazmak, rakipleriniz karşısında size belirgin bir avantaj sağlayacaktır. Sürünün önünde olmak sizin seçiminizdir - bir adım atın ve siber suçla mücadelede oyunun kurallarını değiştirin.

"Certified C# and Web application security" eğitim konuları şunları içerir:

• BT güvenliği ve güvenli kodlama
• Web uygulaması güvenliği
• İstemci tarafı güvenliği
• .NET güvenlik mimarisi ve hizmetleri
• Pratik kriptografi
• Yaygın kodlama hataları ve güvenlik açıkları
• Güvenlik ve güvenli kodlama ilkeleri
• Bilgi kaynakları

"Certified C# and Web application security" eğitimi için genel C# ve Web uygulama geliştirme becerilerine ihtiyaç duyulmaktadır.

• Güvenlik, BT güvenliği ve güvenli kodlamanın temel kavramlarını anlayın
• OWASP Top Ten'in ötesindeki Web güvenlik açıklarını öğrenin ve bunlardan nasıl kaçınacağınızı öğrenin
• XML güvenliği hakkında bilgi edinin
• Dağıtım ortamını güvenli bir şekilde nasıl kuracağınızı ve çalıştıracağınızı öğrenin
• İstemci tarafı güvenlik açıklarını ve güvenli kodlama uygulamalarını öğrenin
• .NET geliştirme ortamının çeşitli güvenlik özelliklerini kullanmayı öğrenin
• Kriptografi hakkında pratik bir anlayışa sahip olun
• Tipik kodlama hataları ve bunlardan nasıl kaçınacağınızı öğrenin
• Güvenli kodlama uygulamaları hakkında kaynaklar ve daha fazla okuma edinin

1. Gün

BT güvenliği ve güvenli kodlama

• Güvenliğin doğası
• Risk nedir?
• BT güvenliği ve güvenli kodlama
• Güvenlik açıklarından botnet'lere ve siber suçlara
• Güvenlik kusurlarının doğası
• Zorluk nedenleri
• Enfekte bir bilgisayardan hedefli saldırılara
• Yedi Zararlı Krallık
• OWASP İlk On 2017
• Web uygulaması güvenliği
• Enjeksiyon
• Enjeksiyon prensipleri
• SQL enjeksiyonu
• Alıştırma – SQL Enjeksiyonu
• Alıştırma – SQL enjeksiyonu
• Tipik SQL Enjeksiyonu saldırı yöntemleri
• Kör ve zaman tabanlı SQL enjeksiyonu
• SQL enjeksiyonu koruma yöntemleri
• Diğer enjeksiyon kusurları
• Komut enjeksiyonu
• Komut enjeksiyonu egzersizi – Netcat'i başlatma
• Vaka çalışması – ImageMagick
• Çerez enjeksiyonu / HTTP parametre kirliliği
• Alıştırma – Değer gölgeleme
• Bozuk kimlik doğrulama
• Oturum işleme tehditleri
• Oturum sabitleme
• Alıştırma – Oturum sabitleme
• Oturum işleme en iyi uygulamaları
• Çerez niteliklerini ayarlama – en iyi uygulamalar
• Hassas veri ifşası
• Taşıma katmanı güvenliği
• XML dış varlık (XXE)
• XML Varlık tanıtımı
• XML bombası
• Alıştırma – XML bombası
• XML dış varlık saldırısı (XXE) – kaynak dahil etme
• XML dış varlık saldırısı – URL çağrısı
• XML dış varlık saldırısı – parametre varlıkları
• Alıştırma – XXE saldırısı
• Varlıkla ilgili saldırıları önleme
• Vaka çalışması – XXE Google Araç Çubuğu'nda
• Bozuk erişim denetimi
• Tipik erişim denetimi zayıflıkları
• Güvensiz doğrudan nesne referansı (IDOR)
• Alıştırma – Güvensiz doğrudan nesne referansı
• IDOR'a karşı koruma
• Vaka çalışması – Facebook Notları
• URL erişimini kısıtlama başarısızlığı
• Güvenlik yanlış yapılandırması
• Yapılandırma yönetimi
• Güçlendirme
• Yama yönetimi
• ASP.NET bileşenleri ve ortam genel bakışı
• Güvensiz dosya yüklemeleri
• Alıştırma – Yürütülebilir dosyaları yükleme
• Dosya yüklemelerini filtreleme – doğrulama ve yapılandırma
• Siteler Arası Komut Dosyası Oluşturma (XSS)
• Kalıcı XSS
• Yansıyan XSS
• DOM tabanlı XSS
• Alıştırma – Siteler Arası Komut Dosyası Oluşturma
• Kullanım: CSS enjeksiyonu
• Kullanım: <base> etiketini enjekte etme
• Alıştırma – Temel etiketle HTML enjeksiyonu
• XSS önleme
• C#'ta Çıktı kodlama API'si
• ASP.NET'te XSS koruması – validateRequest
• Web Koruma Kütüphanesi (WPL)

2. Gün

Web uygulaması güvenliği

• Güvensiz deserializasyon
• Deserializasyon temelleri
• Deserializasyonun güvenlik zorlukları
• .NET'te deserializasyon
• Deserializasyondan kod yürütmeye
• POP yükü MulticastDelegate'i (C#) hedefleme
• Gerçek dünya .NET deserializasyon güvenlik açıkları örnekleri
• Deserializasyonla ilgili sorunlar – JSON
• Deserializasyon güvenlik açıklarına karşı en iyi uygulamalar
• Bilinen güvenlik açıklarına sahip bileşenleri kullanma
• Güvenlik açığı nitelikleri
• Ortak Güvenlik Açığı Puanlama Sistemi – CVSS

İstemci tarafı güvenliği

• JavaScript güvenliği
• Aynı Köken Politikası
• Çapraz Köken Kaynak Paylaşımı (CORS)
• Alıştırma – İstemci tarafı kimlik doğrulaması
• İstemci tarafı kimlik doğrulaması ve parola yönetimi
• JavaScript kodunu koruma
• Alıştırma – JavaScript karartma
• Tıklama korsanlığı
• Alıştırma – Beni seviyor musun?
• Clickjacking'e karşı koruma
• Çerçeve bozmaya karşı koruma – koruma betiklerini reddetme
• Çerçeve bozmaya karşı koruma
• AJAX güvenliği
• AJAX'ta XSS
• AJAX'ta betik enjeksiyon saldırısı
• Alıştırma – AJAX'ta XSS
• Ajax'ta XSS koruması
• Alıştırma AJAX'ta CSRF – JavaScript ele geçirme
• AJAX'ta CSRF koruması
• HTML5 güvenliği
• HTML5'te yeni XSS olasılıkları
• HTML5 tıklama kaçırma saldırısı – metin alanı enjeksiyonu
• HTML5 tıklama kaçırma – içerik çıkarma
• Form kurcalama
• Alıştırma – Form kurcalama
• Çapraz kökenli istekler
• Çapraz kökenli istek içeren HTML proxy'si
• Alıştırma – İstemci tarafı dahil etme

.NET güvenlik mimarisi ve hizmetleri

• .NET mimarisi
• Kod Erişim Güvenliği
• Tam ve kısmi güven
• Kanıt sınıfları
• İzinler
• Kod erişim izin sınıfları
• Kanıtlardan izin türetme
• Özel izinleri tanımlama
• .NET çalışma zamanı izin denetimi
• Yığın Yürüyüşü
• Assert()'in etkileri
• Sınıf ve yöntem düzeyinde bildirimsel izin
• Zorunlu (programlı) izin denetimi
• Alıştırma – .NET kodunu deneme alanı
• Şeffaflık niteliklerini kullanma
• Kısmen güvenilir arayanlara izin verme
• Alıştırma – şeffaflık niteliklerini kullanma

Pratik kriptografi

• Kripto sistemleri
• Kripto sisteminin öğeleri
• Simetrik anahtar kriptografisi
• Simetrik kriptografi ile gizlilik sağlama
• Simetrik şifreleme algoritmaları
• Blok şifreleri – çalışma modları
• Diğer kriptografik algoritmalar
• Karma veya mesaj özeti
• Karma algoritmaları
• SHAttered
• Mesaj Kimlik Doğrulama Kodu (MAC)
• Simetrik bir anahtar
• Rastgele sayılar ve kriptografi
• Kriptografik olarak güçlü PRNG'ler
• Donanım tabanlı TRNG'ler
• Asimetrik (genel anahtar) kriptografi
• Genel anahtar şifrelemesiyle gizlilik sağlama
• Kural - özel anahtara sahip olma
• Simetrik ve asimetrik algoritmaları birleştirme
• Genel Anahtar Altyapısı (PKI)
• Ortadaki Adam (MitM) saldırısı
• MitM saldırısına karşı dijital sertifikalar
• Genel Anahtar Altyapısındaki Sertifika Yetkilileri
• X.509 dijital sertifikası

3. Gün

Yaygın kodlama hataları ve güvenlik açıkları

• Giriş doğrulama
• Giriş doğrulama kavramları
• Tamsayı sorunları
• Negatif tamsayıların gösterimi
• Tamsayı taşması
• Alıştırma IntOverflow
• Math.Abs(int.MinValue) değeri nedir?
• Tamsayı sorunu – en iyi uygulamalar
• Örnek olay – .NET'te tamsayı taşması
• Yol geçişi güvenlik açığı
• Yol geçişi azaltma
• Örnek olay – LastPass'ta yetersiz URL doğrulaması
• Geçersiz yönlendirmeler ve iletmeler
• Güvenli olmayan yerel çağrılar
• Alıştırma – Güvenli olmayan yönetilmeyen kod
• Güvenli olmayan yansıma
• Bir komut dağıtıcısının uygulanması
• Güvenli olmayan yansıma – hatayı tespit edin!
• Güvenli olmayan yansımanın azaltılması
• Günlük sahteciliği
• Günlük dosyalarıyla ilgili diğer bazı tipik sorunlar
• Güvenlik özelliklerinin uygunsuz kullanımı
• Güvenlik özelliklerinin kullanımıyla ilgili tipik sorunlar
• Güvensiz rastgelelik
• .NET'te zayıf PRNG'ler
• Parola yönetimi
• Alıştırma – Karma parolaların zayıflığı
• Parola yönetimi ve depolama
• Parola depolama için özel amaçlı karma algoritmaları
• .NET'te Argon2 ve PBKDF2 uygulamaları
• .NET'te bcrypt ve scrypt uygulamaları
• Vaka çalışması – Ashley Madison veri ihlali
• Parola yönetiminde tipik hatalar
• Alıştırma – Sabit kodlanmış parolalar
• Erişilebilirlik değiştiricileri
• .NET'te yansıma ile özel alanlara erişim
• Alıştırma Yansıma – Yansıma ile özel alanlara erişim
• Uygunsuz hata ve istisna işleme
• Hata ve istisna işleme ile ilgili tipik sorunlar
• Boş yakalama bloğu
• Aşırı geniş yakalama
• Çoklu yakalama kullanma
• NullReferenceException'ı yakalama
• İstisna işleme – hatayı tespit edin!
• Alıştırması – Hata işleme
• Alıştırması – Hata raporlaması yoluyla bilgi sızıntısı
• Zaman ve durum sorunları
• Eşzamanlılık ve iş parçacığı
• .NET'te eşzamanlılık
• İhmal edilen senkronizasyon – hatayı tespit edin!
• Alıştırması – İhmal edilen senkronizasyon
• Yanlış ayrıntı düzeyi – hatayı tespit edin!
• Alıştırması – Yanlış ayrıntı düzeyi
• Kilitlenmeler
• Kilitlenmelerden kaçınma
• Alıştırması – Kilitlenmelerden kaçınma
• Kilitleme ifadesi
• Serileştirme hataları (TOCTTOU)
• TOCTTOU örneği
• Alıştırması – Yarış koşulu
• Alıştırması – Yarış koşulundan yararlanma
• Kod kalitesi sorunları
• Düşük kod kalitesinden kaynaklanan tehlikeler
• Düşük kod kalitesi – hatayı tespit edin!
• Yayınlanmamış kaynaklar
• Serileştirme – hatayı tespit edin!
• Alıştırması – Serileştirilebilir hassas
• Özel diziler – hatayı tespit edin!
• Özel diziler – genel bir yöntemden döndürülen türlendirilmiş alan
• Sınıf mühürlenmemiş – nesne gaspı
• Alıştırma – Nesne gaspı
• Değiştirilemez dize – hatayı bulun!
• Alıştırma – Değiştirilemez dizeler
• SecureString kullanımı