Kıbrıs SECURING DATABASES (TT8700) Eğitimi

Kimler Katılmalı?

Bu orta düzey veritabanı eğitimi, iyi korunan veritabanı uygulamaları geliştirmeye başlamak isteyen katılımcılar için tasarlanmıştır.

• Hizmet reddi, siteler arası komut dosyası çalıştırma ve ekleme gibi güvenilmeyen verilerin düzgün şekilde işlenmemesinin sonuçları
• Katmanlı savunmaların varlığını ve etkinliğini belirlemek için veritabanlarını çeşitli saldırı teknikleriyle test edin
• Güvenilmeyen verilerle ilişkili birçok potansiyel güvenlik açığını önleyin ve savunun
• Güvenli veritabanlarını desteklemenin, tasarlamanın ve dağıtmanın ardındaki kavramlar ve terminoloji
• Veri güvenliğiyle ilgili sorunlar ve bu sorunlarla ilişkili potansiyel riskler
• Veritabanlarının birçok güvenlik ihtiyacını desteklemek için en iyi uygulamalar.
• Veritabanları ve veritabanı uygulamaları bağlamında kimlik doğrulama ve yetkilendirmeyle ilgili güvenlik açıkları
• Kimlik doğrulama ve yetkilendirme işlevlerine yönelik savunmaları tespit edin, saldırın ve uygulayın
• Siteler Arası Komut Dosyası Çalıştırma (XSS) ve Enjeksiyon saldırılarının ardındaki tehlikeler ve mekanizmalar
• XSS ve Enjeksiyon saldırılarına karşı savunmaları tespit edin, saldırın ve uygulayın
• Savunma amaçlı, güvenli kodlamanın arkasındaki kavramlar ve terminoloji
• Anlamlı varlıklara karşı gerçekçi tehditlere dayalı olarak yazılım açıklarını belirlemede Tehdit Modellemesini bir araç olarak kullanma
• Güvenlik açıklarını ortaya çıkarmak için hem statik incelemeler hem de dinamik veritabanı testleri gerçekleştirin
• Güçlü, sağlam kimlik doğrulama ve yetkilendirme uygulamaları tasarlayın ve geliştirin
• Dijital İmzaların Temelleri ve bunların veri savunma altyapısının bir parçası olarak nasıl kullanılabileceği
• Şifrelemenin temelleri ve veriler için savunma altyapısının bir parçası olarak nasıl kullanılabileceği

1. Temel

• Kavram yanılgıları

1. Kimlik Hırsızlığının Gelişen Sektörü
2. Veri İhlallerinin Şerefsiz Listesi
3. TJX: Bir Felaketin Anatomisi
4. Heartland: Ne? Tekrar?

• Güvenlik Kavramları

1. Terminoloji ve Oyuncular
2. Varlıklar, Tehditler ve Saldırılar
3. OWASP
4. CWE/SANS En Önemli 25 Programlama Hatası
5. Kategoriler
6. Hizmetleriniz İçin Ne İfade Ediyorlar?

• Savunma Amaçlı Kodlama İlkeleri

1. Güvenlik Bir Yaşam Döngüsü Sorunudur
2. Saldırı Yüzeyini En Aza İndirin
3. Kaynakları Yönet
4. Uygulama Durumları
5. Bölümlere ayır
6. Derinlikte Savunma Katmanlı Savunma
7. Tüm Uygulama Durumlarını Göz önünde bulundurun
8. Güvenilmeyene Güvenmemek
9. Güvenlik Kusurunun Azaltılması
10. Deneyimden Yararlanın

• Gerçeklik

1. Güncel, İlgili Olaylar
2. Web Uygulamasındaki Güvenlik Kusurlarını Bulma

2. En Önemli Veritabanı Güvenliği Açıkları

• Tüm DBMS'lerde Ortak Güvenlik Kaygıları

1. Kimlik doğrulama
2. Yetkilendirme
3. Gizlilik
4. Bütünlük
5. Denetim
6. Çoğaltma, Federasyon ve Kümeleme
7. Yedekleme ve Kurtarma
8. İşletim Sistemi, Uygulama ve Ağ Bileşenleri

• Doğrulanmamış Giriş

1. Güvenilmeyen Giriş Kaynakları
2. Güven Sınırları
3. Savunmaların Tasarlanması ve Uygulanması

• Bozuk Kimlik Doğrulaması

1. Şifrelerin Kalitesi
2. Şifrelerin Korunması
3. Şifreleri Karmalama
4. Kimlik Doğrulama Varlıklarını Koruma
5. Sistem Hesap Yönetimi
6. Kullanıcı Hesabı Yönetimi

• Bozuk Erişim Kontrolü

1. Yüksek Ayrıcalıklar Kazanmak
2. Ayrıcalık Düzeyine Göre Bölümlendirme
3. Veritabanı ve Sistemlerin Sağladığı Özel Ayrıcalıklar
4. Özel Rolleri Korumak

• Siteler Arası Komut Dosyası Çalıştırma (XSS/CSRF) Kusurları

1. Ne ve Nasıl
2. XSS'yi Etkinleştirmede Veritabanlarının Rolü
3. Savunmaların Tasarlanması ve Uygulanması

• Enjeksiyon Kusurları

1. Ne ve Nasıl
2. SQL, PL/SQL, XML ve Diğerleri
3. Saklı Prosedürler
4. Arabellek Taşmaları
5. Savunmaların Tasarlanması ve Uygulanması

• Hata İşleme ve Bilgi Sızıntısı

1. Ne ve Nasıl
2. Hata Yanıtının Dört Boyutu
3. Doğru Hata İşleme Tasarımı

• Güvenli Olmayan İşleme

1. Kullanımda Olmayan Veriler
2. Hareket Halindeki Veri
3. Şifreleme
4. Ayrıcalık Düzeyine Göre Bölümlendirme
5. Yedeklemeler ve Arşivler
6. Bağlantı Dizeleri ve Yüksek Değerli Sunucu Tarafı Kimlik Bilgileri
7. Savunmaların Tasarlanması ve Uygulanması

• Güvenli Olmayan Yapılandırma Yönetimi

1. İlk Kurulum
2. Yama Yönetimi
3. Sunucu Sertleştirme
4. İşletim Sistemi Sağlamlaştırma
5. Bağlantı Sertleştirme
6. Çoğaltma Sertleştirme
7. En İyi Uygulamalar

• Doğrudan Nesne Erişimi

1. Ne ve Nasıl
2. Erişimin Sağlanmasında Veritabanlarının Rolü
3. Kaçınılması Gereken Yüksek Riskli Uygulamalar

3. Veritabanı Güvenliği

• Tanımlama ve Kimlik Doğrulama

1. Grup ve Bireysel
2. Anahtar Yönetim Uygulamaları
3. Token ve Sertifika Uygulamaları

• Bilgi İşlem Ortamı

1. Veri Değişiklikleri ve Kontrolleri
2. Şifreleme
3. Ayrıcalık Yönetimi
4. Ek Kontroller ve Uygulamalar

• Veritabanı Denetimi

1. Denetim Mekaniği ve En İyi Uygulamalar
2. Koddaki Değişikliklerin Takibi
3. İzinlerdeki Değişiklikleri İzleme
4. Denetimin Genişletilmesi

• Sınır Savunmaları
• Hizmetin Sürekliliği

1. Yedekleme/Geri Yükleme Varlıklarını Savunmak
2. Veri ve Yazılım Yedeklemeleri
3. Güvenilir Kurtarma

• Güvenlik Açığı ve Olay Yönetimi

4. Kriptografiye Genel Bakış

• Kriptografi tanımlı
• Güçlü Şifreleme
• Şifreler ve algoritmalar
• Mesaj özetleri
• Anahtar türleri
• Anahtar yönetimi
• Sertifika yönetimi
• Şifreleme/Şifre Çözme

5. Güvenli Yazılım Geliştirme (SSD)

• SSD Sürecine Genel Bakış

1. CLASP Tanımlı
2. CLASP Uygulandı

• Varlık, Sınır ve Güvenlik Açığı Tespiti
• Güvenlik Açığı Yanıtı
• Tasarım ve Kod İncelemeleri
• Süreç ve Uygulamaların Uygulanması
• Risk Analizi

6. Güvenlik Testi

• Yaşam Döngüsü Süreci Olarak Test Etme
• Test Planlama ve Dokümantasyon
• Test Araçları ve Süreçleri

1. İlkeler
2. Yorumlar
3. Test
4. Aletler

• Statik ve Dinamik Analiz
• Test Uygulamaları

1. Kimlik Doğrulama Testi
2. Veri Doğrulama Testi
3. Hizmet Reddi Testi

7. Genel Veritabanı Önlemleri

• Genel Bakış, Kurallar ve En İyi Uygulamalar
• Genel Veritabanı Kontrolleri ve Prosedürleri
• Önlemlerin Uygulanması