Bir faaliyet olarak güvenlik testi (Pen Testi), SDLC'nin sonunda güvenlik açıklarını yakalama eğilimindedir ve genellikle kodun yazılma biçimindeki temel değişiklikleri etkileyebilmek için çok geçtir.
Bu dersi, geliştiricilerin güvenli bir şekilde kod yazmalarına yönelik artan ihtiyaç nedeniyle yazdık. Güvenliği geliştirme döngüsüne bir kalite bileşeni olarak dahil etmek kritik önem taşımaktadır. Bu sınıf, Microsoft'un Azure platformunda barındırılan ve kasıtlı olarak geliştirilen güvensiz web uygulamamızı kullanarak uygulamalı pratik yoluyla geliştiricileri çeşitli güvenlik açıkları konusunda eğitmeyi amaçlamaktadır. Bu sınıf boyunca geliştiriciler, güvenlik uzmanlarıyla aynı sayfada yer alabilecek, onların dilini anlayabilecek ve sınıf sırasında öğrenilen güvenlik açıklarını nasıl düzelteceklerini veya azaltacaklarını öğrenebileceklerdir.
Bu sınıfta tartışılan teknikler, web uygulamaları oluşturmada çeşitli kuruluşlarda büyük ölçüde benimsenmeleri nedeniyle esas olarak .NET ve JAVA teknolojilerine odaklanmaktadır. Bununla birlikte, yaklaşım geneldir ve diğer dil geçmişlerinden gelen geliştiriciler, öğrenilen bilgileri kendi ortamlarında kolayca kavrayabilir ve uygulayabilir.
Bu eğitim PCI-DSS standardının gerekliliklerini, özellikle de 6.5 numaralı zorunlu gerekliliği karşılamaktadır:
Geliştiricileri güvenli kodlama teknikleri konusunda eğiterek ve hassas verilerin bellekte nasıl işlendiği de dahil olmak üzere güvenli kodlama yönergelerine dayalı uygulamalar geliştirerek yazılım geliştirme süreçlerindeki yaygın kodlama güvenlik açıklarını önleyin.
Hedef Kitle:
Katılımcılar, birden fazla güvenlik açığı ile dolu laboratuvarları kullanacaklardır. Katılımcılar, sorunları daha iyi anlamak ve kavramak için güvenlik açıklarının gösterimlerini ve uygulamalı pratiklerini alacak, ardından bunları nasıl düzelteceklerine dair çeşitli teknikler ve öneriler alacaklardır. Eğitim, OWASP Top 10 gibi endüstri standartlarını ve yaygın güvenlik sorunlarını kapsarken, çeşitli İş Mantığı ve Yetkilendirme kusurları gibi gerçek dünya sorunlarını da ele almaktadır.
OWASP Top 10 gibi en son endüstri standartlarını, Uygulamalı Laboratuvar pratiği ile tamamlanan güvenlik açıklarının pratik gösterimleri ile kapsar
En son güvenlik açıkları hakkında içgörü (Host Header Injection, XML Entity Injection, Web-Services ve API Güvenliği gibi)
En iyi güvenlik uygulamaları hakkında kapsamlı rehberlik (Güvenli Geliştirme için çeşitli Güvenlik Çerçevelerine ve araçlarına ve tekniklerine giriş)
Her bir güvenlik açığı için gerçek dünya benzetmesine referanslar (Facebook'un XML Entity Injection Güvenlik Açığı için neden 33.000 $ ödeyeceğini anlayın)
Web geliştiricileri, pentest uzmanları ve güvenli kod yazmak veya kodu güvenlik kusurlarına karşı denetlemek isteyen herkesi hedefleyen son derece pratik bir eğitimdir. Eğitim, yazılımcıların uygulama geliştirirken farkında olmaları gereken çeşitli en iyi güvenlik uygulamalarını ve derinlemesine savunma yaklaşımlarını kapsamaktadır. Ayrıca geliştiricilerin kod inceleme süreci boyunca çeşitli güvenlik sorunlarını tespit etmek için kullanabilecekleri bazı hızlı teknikleri de kapsamaktadır.
Katılımcılar, birden fazla güvenlik açığı ile dolu çevrimiçi laboratuvarımıza erişebilirler. Katılımcılar, sorunları daha iyi anlamak ve kavramak için güvenlik açıklarının gösterimlerini ve uygulamalı pratiklerini alacak, ardından bunları nasıl düzelteceklerine dair çeşitli teknikler ve öneriler alacaklardır. Sınıf, OWASP Top 10 ve SANS top 25 güvenlik sorunları gibi endüstri standartlarını kapsarken, çeşitli İş Mantığı ve Yetkilendirme kusurları gibi gerçek dünya sorunlarını da kapsamaktadır.
1. GÜN
Modül 1
Uygulama Güvenliği Temelleri
Modül 2
HTTP protokolünü anlama
Modül 3
Güvenlik Yanlış Yapılandırmaları
Modül 4
Yetersiz Günlük ve İzleme
Modül 5
Kimlik Doğrulama Kusurları
Modül 6
Yetkilendirme Bypass'ı
Modül 7
Çapraz Site Komut Dosyası (XSS)
2. GÜN
Modül 8
Çapraz Site İstek Sahteciliği (CSRF)
Modül 9
SQL Enjeksiyonu
Modül 10
XML Dış Varlık (XXE) Saldırıları
Modül 11
Güvensiz Dosya Yüklemeleri
Modül 12
Derileştirme Güvenlik Açıkları
Modül 13
İstemci Tarafı Güvenliği
Modül 14
Kaynak Kod İncelemesi
Sınıf eğitimlerimizi İstanbul, Ankara ve Londra ofislerimizde düzenlemekteyiz. Kurumunuza özel eğitimleri ise, dilediğiniz tarih ve lokasyonda organize edebiliriz.