Kıbrıs Securing Web Applications | OWASP Top Ten and Beyond Eğitimi

Yaygın Web Uygulaması Güvenlik Açıklarını, Saldırı Savunmalarının Nasıl Uygulanacağını ve Test Edileceğini ve Daha Fazlasını Keşfedin. 

İki günlük seminer tarzında işleyen "Securing Web Applications | OWASP Top Ten and Beyond" eğitimimize katılın ve web uygulaması güvenliğine yönelik kapsamlı bir yolculuğa çıkın! Web geliştiricileri ve teknik paydaşlar için tasarlanan bu eğitim, size savunma ve güvenli kodlamanın temel kavramlarını öğretecektir. Bu eğitime katılarak "Nüfuz et ve yama yap" yaklaşımının ötesine geçmeyi, güvenliği en başından itibaren uygulamalarınıza entegre ederek sağlam ve dayanıklı bir yazılıma ulaşmayı öğreneceksiniz.

Bu ilgi çeken eğitim boyunca, 2021 OWASP İlk 10'unu ve diğer birçok hayati güvenlik açığını ele alarak web uygulamalarını savunma amaçlı kodlamaya yönelik en iyi uygulamaları derinlemesine inceleyeceksiniz. Kötü tasarlanmış web uygulamalarının gerçek dünyadaki örneklerini inceleyecek ve en iyi güvenlik uygulamalarına uyulmadığı zaman ortaya çıkabilecek potansiyel sonuçların net örneklerini göreceksiniz. Uzman eğitmenimiz, güvenlik önlemlerini geliştirme yaşam döngünüze entegre etme sürecinde size rehberlik edecek ve sıfırdan güvenli uygulamalar oluşturmanızı sağlayacaktır.

"Securing Web Applications | OWASP Top Ten and Beyond" eğitimi, teorinin ötesine geçerek işinize doğrudan uygulanabilecek pratik becerileri size sunacaktır:

Etik hackleme, hata avlama, kimlik doğrulama ve yetkilendirme işlevlerine yönelik tehditlerin tespiti ve azaltılması gibi. 

Eğitimimize katılarak Siteler Arası Komut Dosyası Çalıştırma (XSS) ve Enjeksiyon saldırılarının mekanizmalarını ve tehditlerini anlayacak ve XML işleme, yazılım yüklemeleri ve seri durumdan çıkarmayla ilişkili riskleri ve azaltma stratejilerini kavrayacaksınız.

Kendi kendine yönlendirilen veya daha az deneyimli eğitmenler tarafından verilen birçok eğitimin aksine, Bilginç IT Academy olarak organize ettiğimiz bu eğitim, pratik içgörüleri, en iyi uygulamaları ve gerçek yaşam deneyimlerini paylaşarak öğrenme yolculuğunuza paha biçilmez derinlik katan deneyimli bir web uygulaması güvenliği uzmanı tarafından yönetilmektedir. Bu eğitimden, bu teknolojiler konusunda bilgili, pratik becerilerin yanı sıra profesyonel ortamınızda etkili bir şekilde iletişim kurma ve işbirliği yapma becerisiyle donatılmış olarak ayrılacaksınız. Uzmanların yönlendirdiği ilgi çekici eğitimler, etkileşimli tartışmalar ve bilgilendirici demolar ile bu eğitim size daha güvenli, daha güçlü web uygulamaları oluşturma yolculuğunuza başlamanız için gereken becerileri sağlayacaktır.

Securing Web Applications | OWASP Top Ten and Beyond eğitimi uygulamalı bir eğitim değildir. Fakat aşağıdakilere sahipseniz, bu eğitim sizin için faydalı olacaktır:

• Web geliştirme ve web mimarisine ilişkin temel anlayış
• Temel programlama kavramlarına biraz aşinalık.
• Web güvenliği kavramlarının temel anlayışı.

Bu Eğitime Kimler Katılmalı?

Securing Web Applications | OWASP Top Ten and Beyond eğitimi; 

Web geliştiricileri, yazılım mühendisleri, sistem yöneticileri ve web uygulamalarının tasarımı, geliştirilmesi veya bakımıyla ilgilenen diğer teknik paydaşlar için ideal olan genel bakış düzeyinde bir eğitimdir. Web uygulamalarındaki güvenlik açıkları ve savunma mekanizmalarına ilişkin anlayışlarını derinleştirmek isteyen güvenlik profesyonelleri de bu eğitimden büyük fayda sağlayacaktır. Ayrıca ekiplerinin güvenli uygulama geliştirme için en iyi uygulamaları takip etmesini sağlamak isteyen proje yöneticileri ve liderleri, bu eğitimi stratejik yönlerini şekillendirmede değerli bulacaktır.

Bu eğitim, gerçek ve potansiyel yazılım güvenlik açıklarını nasıl tanıyacağınız ve bu güvenlik açıklarına karşı savunmaları nasıl uygulayacağınız konusunda size yol gösterecektir. Günümüzde web uygulamalarının karşılaştığı en yaygın güvenlik açıklarını keşfedecek, her bir güvenlik açığını, tehdit ve saldırı mekanizmalarını tanımlama, ilgili güvenlik açıklarını tanıma ve son olarak etkili savunmalar tasarlama ve uygulama süreci aracılığıyla kodlama perspektifinden inceleyeceksiniz.

"Securing Web Applications | OWASP Top Ten and Beyond " eğitimi, eğitmen liderliğindeki ilgi çekici ve faydalı sunumları, değerli uygulamalı laboratuvarlar ve ilgi çekici grup etkinlikleriyle birleştiriyor. Eğitim boyunca şunları öğreneceksiniz:

• Yararlanma aşamalarının ve hedeflerinin anlaşılması da dahil olmak üzere savunma amaçlı, güvenli kodlama kavramlarını ve terminolojisini.
• 2021 OWASP Top Ten'i (en son sürüm) ve birkaç önemli güvenlik açığını.
• Güvenlik analizinde ve tüm web uygulamalarındaki güvenlik endişelerini gidermede ilk aksiyonlarda uzmanlaşmak.
• Etik hacklemeyi ve hata avlamayı güvenli ve uygun bir şekilde nasıl gerçekleştireceğinizi.
• Kuruluşunuzdaki etkili kusur/hata raporlama mekanizmalarını belirlemeyi ve kullanmayı.
• Hata arama ve güvenlik açığı testlerinde sık karşılaşılan tuzaklardan nasıl kaçınacağınızı.
• Çok katmanlı bir savunma stratejisinin değerini takdir etmeyi.
• Güvenilmeyen verilerin potansiyel kaynaklarını ve uygunsuz kullanımın sonuçlarını.
• Kimlik doğrulama ve yetkilendirme mekanizmalarıyla ilgili güvenlik açıklarını.
• Kimlik doğrulama ve yetkilendirme işlevlerine yönelik tehditleri nasıl tespit edip azaltacağınızı.
• Siteler Arası Komut Dosyası Çalıştırma (XSS) ve Enjeksiyon saldırılarının mekanizmalarını ve tehditlerini ve bunlara karşı nasıl savunma yapılacağını.
• XML işleme, yazılım yüklemeleri ve seri durumdan çıkarmayla ilişkili riskleri anlayın ve azaltma stratejilerini.
• Güvenlik araçları, güçlendirme teknikleri ve devam eden tehdit istihbaratı kaynaklarını
• Bonus: Web Uygulama Güvenliğinde Yapay Zekayı Keşfetmek!

Oturum: Bug Aramanın Temelleri

• Konu: Neden Bug Aramalıyız?
  • Siber Güvenliğin Dili
  • Değişen Siber Güvenlik Ortamı
  • SolarWinds'in AppSec Diseksiyonu
  • İnsan Çevresi
  • Verizon Veri İhlali Araştırma Raporunun Yorumlanması
  • Web Uygulaması Güvenlik Analizinde İlk Aksiyom
  • Tüm Güvenlik Sorunlarını Gidermede İlk Aksiyom
  • Laboratuvar: Başarısızlık Durumunda Vaka Çalışması
• Konu: Güvenli ve Uygun Hata Avcılığı/Hackleme
  • Etik Çalışmak
  • Gizliliğe Saygı
  • Hata/Kusur Bildirimi
  • Hata Ödül Programları
  • Kaçınılması Gereken Hata/Bug Avlama Hataları

Oturum: Bug Aramadıktan Sonra İlerleme

• Konu: Hataları/Bugları Kaldırma
  • Açık Web Uygulama Güvenliği Projesi (OWASP)
  • OWASP İlk On Genel Bakış
  • Web Uygulama Güvenliği Konsorsiyumu (WASC)
  • CERT Güvenli Kodlama Standartları
  • Microsoft Güvenlik Yanıt Merkezi
  • Yazılıma Özel Tehdit İstihbaratı

Oturum: Web Uygulamalarını Korumanın Temeli

• Konu: Bilgi Güvenliği İlkeleri
  • Güvenlik Bir Yaşam Döngüsü Sorunudur
  • Saldırı Yüzey Alanını En Aza İndirin
  • Savunma Katmanları: İnatçı D
  • Bölümlere ayır
  • Tüm Uygulama Durumlarını Göz önünde bulundurun
  • Güvenilmeyene Güvenmeyin
  • Verkada İstismarının AppSec İncelemesi

Oturum: Hata Giderme 101

• Konu: Doğrulanmamış Veriler
  • Arabellek Taşmaları
  • Tam Sayılı Aritmetik Güvenlik Açıkları
  • Güven Sınırlarını Tanımlamak ve Savunmak
  • Titiz., Olumlu Özellikler
  • Beyaz listeye alma ve kara listeye alma
  • Zorluklar: Serbest Biçimli Metin, E-posta Adresleri ve Yüklenen Dosyalar
• Konu: A01: Bozuk Erişim Kontrolü
  • Ayrıcalıkların Yükseltilmesi
  • Yetersiz Akış Kontrolü
  • Korumasız URL/Kaynak Erişimi/Zorla Tarama
  • Meta Veri Manipülasyonu (JWT'ler)
  • CORS Yanlış Yapılandırma Sorunları
  • Siteler Arası İstek Sahteciliği (CSRF)
  • CSRF Savunmaları
  • Laboratuvar: Gündem: Verizon
• Konu: A02: Kriptografik Başarısızlıklar
  • Koruma İhtiyaçlarının Belirlenmesi
  • Gelişen Gizlilik Hususları
  • Verileri Koruma Seçenekleri
  • Aktarım/Mesaj Düzeyinde Güvenlik
  • Zayıf Kriptografik İşleme
  • Anahtarlar ve Anahtar Yönetimi
  • NIST Önerileri
• Konu: A03: Enjeksiyon
  • Enjeksiyon Kusurları
  • SQL Enjeksiyon Saldırıları Gelişiyor
  • Saklı Prosedürleri Ayrıntılı Olarak İnceleyin
  • Diğer Sunucu Tarafı Enjeksiyon Formları
  • Enjeksiyon Kusurlarının En Aza İndirilmesi
  • İstemci Tarafı Enjeksiyonu: XSS
  • Kalıcı, Yansıtıcı ve DOM Tabanlı XSS
  • Güvenilmeyen Verilere İlişkin En İyi Uygulamalar
• Konu: A04: Güvenli Olmayan Tasarım
  • Güvenli Yazılım Geliştirme Süreçleri
  • Sola Kaydırma
  • Sürekli Yeniden Keşfetmenin Maliyeti
  • Ortak AppSec Uygulamalarından ve Kontrolden Yararlanma
  • Analizle Felç
  • Uygulanabilir Uygulama Güvenliği
  • Araç Kutusu için Ek Araçlar
  • Laboratuvar: Uygulanabilir AppSec
• Konu: A05: Güvenlik Yanlış Yapılandırması
  • Sistem Sertleştirme
  • İnternet Bağlantılı Kaynaklarla İlgili Riskler (Sunuculardan Buluta)
  • Minimalist Yapılandırmalar
  • Uygulama Beyaz Listesine Ekleme
  • Güvenli Temel
  • Container'lar ve Bulut ile Segmentasyon
  • Laboratuvar: Yapılandırma Kılavuzu
  • Dış Referansların Çözümlenmesi
  • Güvenli XML İşleme

Oturum: Hata Giderme 102

• Konu: A06: Savunmasız ve Eski Bileşenler
  • Savunmasız Bileşenler
  • Yazılım Envanteri
  • Güncellemeleri Yönetme: Riski ve Zamanlamayı Dengelemek
  • Devam Eden Microsoft Exchange Suistimallerinin AppSec İncelemesi
  • Laboratuvar: Gündem: Equifax
• Konu: A07: Tanımlama ve Kimlik Doğrulama Başarısızlıkları
  • Kimlik Doğrulama Verilerinin Kalitesi ve Korunması
  • Şifrelerin doğru şekilde karma hale getirilmesi
  • Şifrelerin Sunucu Tarafında Kullanımı
  • Oturum Yönetimi
  • HttpOnly ve Güvenlik Başlıkları
• Konu: A08: Yazılım ve Veri Bütünlüğü Arızaları
  • Serileştirme/Seri durumdan çıkarma
  • Savunmasız Yazılım Kullanımıyla İlgili Sorunlar
  • Güvenilir Depoları Kullanma
  • CI/CD Ardışık Düzen Sorunları
  • Yazılım Geliştirme Kaynaklarının Korunması
• Konu: A09: Güvenlik Günlüğü ve İzleme Hataları
  • Tehditleri ve Aktif Saldırıları Tespit Etme
  • Neyin Günlüğe Kaydedileceğini Belirlemeye Yönelik En İyi Uygulamalar
  • Adli Tıp Desteğinde Güvenli Oturum Açma
  • Laboratuvar: Denetim ve Günlük Kaydı Kılavuzu
• Konu: A10: Sunucu Tarafı İstek Sahteciliği (SSRF)
  • SSRF'yi Anlamak
  • Uzaktan Kaynak Erişimi Senaryoları
  • Bulut Hizmetlerinin Karmaşıklığı
  • Derinlikli SSRF Savunması
  • Olumlu İzin Listeleri

Oturum: İleriye Doğru

• Konu: Uygulamalar: Sırada Ne Var?
  • Yaygın Güvenlik Açıkları ve Etkilenmeler
  • CWE/SANS En Tehlikeli 25 Yazılım Hatası
  • Güçlendirme Eğitimi: Proje Ekipleri/Geliştiriciler
  • Güçlendirme Eğitimi: BT Organizasyonları
  • Laboratuvar: Gündem: Capital One