Bilgi Güvenliği Yönetimi

Web Uygulama Güvenliği Denetim Eğitimi (3 Gün)

Teknoloji geliştikçe ve internetin hayatımıza girmesiyle web uygulamaların popülerliği gün geçtikçe artmaktadır. Bankacılık, sigortacılık gibi finansal işlem yürütülen, alışveriş yapılabilen, bilgi aktarılabilen, vatandaşların devlet ile arasında gerçekleştireceği işlemleri kolaylaştıran elektronik devlet uygulamaları gibi web uygulamaları yaygınlaştıkça, web uygulama güvenliğine verilen önem de eşit oranda artmalıdır. Bu noktada web uygulamaların güvenli geliştirilmesi ve periyodik kontrolleri yapılması büyük önem arz etmektedir. Bu eğitimde web uygulamaların nasıl denetleneceği anlatılacaktır.

Kimler Katılmalıdır?

Web uygulama geliştiren ya da geliştirme süreçlerinde yer alan kişiler, sızma testi uzmanları ve bilgi teknolojileri sistemleri denetçileri bu eğitime katılabilirler.

Eğitim İçeriği

• Sızma Testi Kavramı, Çeşitleri ve Önemi

• Saldırgan Bakış Açışı Nedir?

• Bilgi Toplama

• Otomatik Araçlarla Zafiyet Keşfi

• Testlerde Kullanılan Açık Kaynak ve Ticari Ürünler

• Sık Karşılan Güvenlik Zafiyetleri

• Uygulamayı Tanıma ve Haritalama

• Girdi Noktalarının Tespiti

• İstek/Yanıt Analizi

• Vekil Sunucu Kullanımı

• Testlerde Faydalı Browser Eklentileri

• Fuzzing nedir ?

• Zafiyetler ve Kategorileri

• El ile Zafiyet Tespiti ve İstismar Yöntemleri

• Enjeksiyon Saldırıları

• Kimlik Doğrulama, Yetkilendirme Ve Oturum Yönetimi Zafiyetleri

• Web Uygulamalarında Yetki Yükseltme

• Siteler Arası Betik Çağırma (XSS) Saldırıları

• Erişim Kontrolü Açıklıkları

• Server Güvenlik Yapılandırma Hataları/Eksiklikleri

• Hassas Bilgilere Erişim Açıklıkları

• Siteler Arası İstek Sahteciliği (CSRF) Saldırıları

• Güvenli Olmayan Nesne Referansı (IDOR) Saldırıları

• XML External Entity (XXE) Saldırıları

• Yerel Dosya Dahil Etme (LFI) ve Uzak Dosya Dahil Etme (RFI) Açıklığı

• Http Parametre Kirliliği Açıklığı

• Dosya Yükleme Açıklığı

• Kaba Kuvvet/Sözlük Saldırıları

• Özel Sözlük Oluşturma

• Parola Sıfırlama Fonksiyon Testleri

• Hesap Ele Geçirme Açıklıkları

• Webshell ve Backdoor Nedir?

• Sunucu Taraflı İstek Sahteciliği (SSRF) Açıklığı

• URL Yönlendirme Açıklığı

• İçerik Yönetim Sistemlerinde (CMS) ve Eklentilerde Bilinen Açıklıklar

• İş Mantığı Açıklıkları ve Testleri

• Web Uygulamalarında Yapılandırmadan Kaynaklanan Güvenlik Zafiyetleri

• Web Servis Açıklıkları ve Testleri

• Güvenlik Sistemlerini (WAF vs.) Devre dışı Bırakma Testleri

• CAPTCHA Atlatma Testleri

• CSRF Jeton (Token) Atlatma Testleri