EĞİTİMİN İÇERİĞİ
GİRİŞ
- Doğrulama Eğilimi ve Şüpheci Yaklaşım
- Yazılım Güvenliği
- Yazılım Güvenliği Gelişimi
- Güvenli Yazılım Geliştirme Döngüleri
- Güvenli Yazılım Olgunluk Modelleri
GÜVENLİ GİRDİ KONTROLÜ
- Cross Site Scripting (XSS)
- XSS Önleme Teknikleri – Genel
- AntiXSS Output Encodings
- OWASP-ESAPI-Java Output Encodings
- Framework Çözümleri (.NET MVC, Request Validation, JSTL, JSON, v.b.)
- SQL Injection
- SQL Injection Önleme Teknikleri – Genel
- Query Escaping
- OWASP-ESAPI-Java DB Metotları
- Query Escaping Problemleri (SQL Truncation Saldırıları)
- Prepared Statements
- Parameterized Stored Procedures
- ORM Çözümleri (Linq2SQL, Hibernate, v.b.)
- Arbitrary File Uploads
- Güvenli Upload Stratejileri
- SecureImage ile Resim Yüklemeleri
- Digerleri (RFI/LFI,OS,CR/LF,LDAP,XPath)
- OWASP-ESAPI-Java Escaping metotları
- Girdi Denetimi Stratejileri
- Regular Expressions
- Beyazliste vs. Karaliste
- Merkezi vs. Dağıtık
GÜVENLİ KİMLİK DOĞRULAMA
- Kimlik Dogrulama Cesitleri
- Basic Authentication
- Windows Authentication
- OpenID
- Forms Authentication
- Kaba Kuvvet, Hesap DoS Saldırıları
- Güvenli CAPTCHA Kullanımı
- Kaba Kuvvet Önleme Algoritmaları
- Kimlik Doğrulama Stratejileri
- Pozitif vs. Negatif
- 200 OK vs. 302 Redirection
- Güvenli Password Reset Stratejileri
GÜVENLİ YETKİLENDİRME
- Insecure Direct Object Reference
- Açık Yönlendirmeler
- Forceful Browsing (Eksik Yetkilendirme Kontrolleri)
- Yetkilendirme Yöntemleri
- Java Authentication & Authorization Service
- OWASP-ESAPI Java
- .NET Membership
GÜVENLİ KOD ANALİZİ
- Kod Analizi Temelleri
- Kod Analiz Araçları
- CAT.NET
- Java LAPSE+
ALTYAPI
- Geliştici Perspektifinden Web Standardları (HTTP/HTML/JS/URL/Encodings/SQL)
- Web Uygulama Proxy’leri / Güvenlik Firefox Eklentileri
- Lab Ortamı Kurulumları ve Tanıtımları
- WebGoat / Eclipse
- HackmeBank / MS Visual Studio
GÜVENLİ SESSION YÖNETİMİ
- Session Fixation ve Önlemi
- Cross Site Request Forgery
- CSRF Prevention CheatSheet
- Java CSRFGuard
- .NET ViewState & ViewStateUserKey
- Session Korsanlığı
- HttpOnly – Java Servlet Filters
- HttpOnly – .NET
GÜVENLİ DİZAYN
- İş Mantığı Saldırıları
- Tehdit Modelleme
- Güvenli Hata Yönetimi ve Kayıt Tutma
- Log Forging
- Yetersiz Hata Yönetimi
- OWASP-ESAPI-Java Logging
- Log4Net
- Try/Catch/Finally blokları
GÜVENLİ WEB SERVİSLERİ VE AJAX
- Web Servisi Zaafiyetleri ve Önlemleri
- Ajax Zaafiyetleri ve Önlemleri