Certified Java and Web application security Eğitimi

Bu kapsamlı 3 günlük eğitim, Java geliştiricilerine güvenli web uygulamaları geliştirmek için gerekli bilgi, beceri ve teknikleri kazandırır.
Katılımcılar, OWASP Top 10 ve SEI CERT Oracle Coding Standards gibi global güvenlik standartlarına dayalı olarak;
SQL Injection, XSS, Authentication Flaws, Race Conditions, Log4Shell ve Spring2Shell gibi modern tehditleri nasıl tespit edeceklerini ve önleyeceklerini öğrenirler.

Program boyunca, Java Runtime, Spring Security ve güvenli kodlama prensipleri laboratuvar uygulamalarıyla pekiştirilir.

Regülasyon Uyumu (BDDK)

Bu eğitim,
“Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” (15 Mart 2020, RG No: 31066) ile tam uyumludur.

Uygunluk Maddeleri:

• Madde 20 – Güvenli Yazılım Geliştirme: Java ve web uygulamaları için güvenli kodlama standartları.

• Madde 22 – Değişiklik Yönetimi: Kaynak kod analizi, versiyonlama ve güvenli CI/CD entegrasyonu.

• Madde 23 – Güvenlik Testleri: Kod tarama, dinamik test (DAST), statik analiz (SAST), zafiyet testleri.

• Madde 25 – Bilgi Güvenliği Yönetimi: Yazılım ekiplerinde güvenlik farkındalığı ve test sonuçlarının izlenebilirliği.

Bu kurs, bankalar, finans kurumları ve regülasyona tabi kuruluşlar için önerilen “Zorunlu Güvenli Yazılım Geliştirme Eğitimi” kapsamındadır.

Katılımcılar bu eğitimin sonunda:

• Java tabanlı uygulamalardaki OWASP Top 10 zafiyetlerini tanır ve giderir.

• SQL Injection, XSS, Race Condition gibi saldırılara karşı güvenli kodlama uygular.

• Spring Security ve Java güvenlik özelliklerini etkin kullanır.

• Güvenli kimlik doğrulama ve oturum yönetimi geliştirir.

• Static Code Analysis, Burp Suite, OWASP ZAP gibi araçlarla zafiyet testleri yürütür.

• Log4Shell, Spring2Shell gibi güncel zafiyetlere karşı koruma yöntemlerini uygular.

• SEI CERT ve Saltzer-Schroeder prensiplerine uygun yazılım mimarisi oluşturur.

Bu eğitim sonunda katılımcılar:

• Java uygulamalarında güvenli kodlama standartlarını uygular,

• Zafiyet testlerini yönetir,

• BDDK regülasyonlarıyla uyumlu bir güvenli geliştirme döngüsü kurar.

1. Gün – IT Güvenliği ve Güvenli Kodlama Temelleri

• Bilgi güvenliği ve risk yönetimine giriş

• SEI CERT Oracle Kodlama Standartları

• OWASP Top 10 zafiyetleri

• Injection Zafiyetleri:

  • SQL Injection (Blind SQL, Parametrik Sorgular)

  • OS Command Injection

  • XML Injection

• XSS (Cross-Site Scripting): Reflected, Stored, DOM-based saldırılar ve önlemler

2. Gün – Gelişmiş Web Güvenliği ve Güvenli Kodlama

• Kimlik Doğrulama ve Oturum Yönetimi: JWT, cookie güvenliği, CSRF önlemleri

• İş Mantığı Zafiyetleri: Yetki atlamaları, fiyat manipülasyonu, sepet saldırıları

• Path Traversal ve File Upload Güvenliği

• Race Conditions: Çoklu iş parçacığında (multi-threaded) güvenlik sorunları

• CSRF Koruması, Token Yönetimi, Session Sabitleme

3. Gün – Java Platform Güvenliği ve Spring Security

• Java Security:

  • Type safety, bytecode verification, memory management

  • Serialization / Deserialization güvenliği

  • Log4Shell ve Spring2Shell vaka analizleri

• Spring Security:

  • Inversion of Control (IoC) ve AOP güvenlik yapısı

  • EL Injection, Endpoint Güvenliği, Authorization Yönetimi

• Güvenlik Testi Uygulamaları:

  • Burp Suite, OWASP ZAP, SQLMap ile pratik testler

  • Statik Kod Analizi (SAST) ve Penetrasyon Testi (PENT4 düzeyi)

• Güvenli Kodlama İlkeleri: Saltzer & Schroeder prensipleri

Sınav ve Sertifika

• Çoktan seçmeli 60 soruluk online sınav

• Geçme notu: %50

• APMG Proctor-U üzerinden çevrimiçi yapılır

• Katılımcılara bireysel erişim hesabı tanımlanır