EĞİTİMİN İÇERİĞİ

GİRİŞ

  • Doğrulama Eğilimi ve Şüpheci Yaklaşım
  • Yazılım Güvenliği
  • Yazılım Güvenliği Gelişimi
  • Güvenli Yazılım Geliştirme Döngüleri
  • Güvenli Yazılım Olgunluk Modelleri

GÜVENLİ GİRDİ KONTROLÜ

  • Cross Site Scripting (XSS)
  • XSS Önleme Teknikleri – Genel
  • AntiXSS Output Encodings
  • OWASP-ESAPI-Java Output Encodings
  • Framework Çözümleri (.NET MVC, Request Validation, JSTL, JSON, v.b.)
  • SQL Injection
  • SQL Injection Önleme Teknikleri – Genel
  • Query Escaping
  • OWASP-ESAPI-Java DB Metotları
  • Query Escaping Problemleri (SQL Truncation Saldırıları)
  • Prepared Statements
  • Parameterized Stored Procedures
  • ORM Çözümleri (Linq2SQL, Hibernate, v.b.)
  • Arbitrary File Uploads
  • Güvenli Upload Stratejileri
  • SecureImage ile Resim Yüklemeleri
  • Digerleri (RFI/LFI,OS,CR/LF,LDAP,XPath)
  • OWASP-ESAPI-Java Escaping metotları
  • Girdi Denetimi Stratejileri
  • Regular Expressions
  • Beyazliste vs. Karaliste
  • Merkezi vs. Dağıtık

GÜVENLİ KİMLİK DOĞRULAMA

  • Kimlik Dogrulama Cesitleri
  • Basic Authentication
  • Windows Authentication
  • OpenID
  • Forms Authentication
  • Kaba Kuvvet, Hesap DoS Saldırıları
  • Güvenli CAPTCHA Kullanımı
  • Kaba Kuvvet Önleme Algoritmaları
  • Kimlik Doğrulama Stratejileri
  • Pozitif vs. Negatif
  • 200 OK vs. 302 Redirection
  • Güvenli Password Reset Stratejileri

GÜVENLİ YETKİLENDİRME

  • Insecure Direct Object Reference
  • Açık Yönlendirmeler
  • Forceful Browsing (Eksik Yetkilendirme Kontrolleri)
  • Yetkilendirme Yöntemleri
  • Java Authentication & Authorization Service
  • OWASP-ESAPI Java
  • .NET Membership

GÜVENLİ KOD ANALİZİ

  • Kod Analizi Temelleri
  • Kod Analiz Araçları
  • CAT.NET
  • Java LAPSE+

ALTYAPI

  • Geliştici Perspektifinden Web Standardları (HTTP/HTML/JS/URL/Encodings/SQL)
  • Web Uygulama Proxy’leri / Güvenlik Firefox Eklentileri
  • Lab Ortamı Kurulumları ve Tanıtımları
  • WebGoat / Eclipse
  • HackmeBank / MS Visual Studio

GÜVENLİ SESSION YÖNETİMİ

  • Session Fixation ve Önlemi
  • Cross Site Request Forgery
  • CSRF Prevention CheatSheet
  • Java CSRFGuard
  • .NET ViewState & ViewStateUserKey
  • Session Korsanlığı
  • HttpOnly – Java Servlet Filters
  • HttpOnly – .NET

GÜVENLİ DİZAYN

  • İş Mantığı Saldırıları
  • Tehdit Modelleme
  • Güvenli Hata Yönetimi ve Kayıt Tutma
  • Log Forging
  • Yetersiz Hata Yönetimi
  • OWASP-ESAPI-Java Logging
  • Log4Net
  • Try/Catch/Finally blokları

GÜVENLİ WEB SERVİSLERİ VE AJAX

  • Web Servisi Zaafiyetleri ve Önlemleri
  • Ajax Zaafiyetleri ve Önlemleri