Bu sene Güvenlik 101 dersini Akademik Bilişim Mersin’de gerçekleştirmiştik. Akademik Bilişim’de akıl almaz bir yoğunluk olmuştu. Başvuruların sayısı alıp başını gitti, sınıfta 101 kayıtlı öğrenci varken her gün nedense 120 kişiyi bulunuyordu sınıf :) Bizde bu ilgiyi değerlendirip hem güvenlik alanında insan yetiştirmek hemde linux felsefesini öğretmek adına LYK 2014’te güvenlik ile ilgili bir kurs açtık.
http://kamp.linux.org.tr/2014/kurslar/web-uygulama-guvenligi-ve-guvenli-kod-gelistirme/
Kursta başta ben ve Barkın olmak üzere birden fazla eğitmenimiz olacak. Hemen hemen her ana konuyu başka bir eğitmene vermeyi planlıyoruz. Yani 11 günlük eğitimin sadece 3-4 günü benim tarafımdan anlatılacak. Gönül isterdi ki 11 gün sabahlara kadar birlikte çalışalım , anlatayım ama malesef iş hayatının yoğunluğu.
Tavsiyeler
Bende,sizlerde “Güvenlik” alanının ne kadar cezbedici olduğunu biliyoruz. Bu nedenle bir çok arkadaş bu kursu seçmek isteyecektir.
- Linux tecrübesi edinmek, güvenlik dahil bir çok alanda çok önemlidir. Bu nedenle “ben iki ubuntu kurdum, kullanıyorum yeter.” demeyin, Linux Sistem Yönetimi kursuna gidin. Göreceksiniz ki orada anlatılanların hepsi altın değerinde. Ayrıca bir daha böyle kaliteli eğitmenleri bulabileceğiniz bir eğitim fırsatınız olmayabilir.
- Güvenlik alanında çalışma yapmak için programlama dili tecrübesi büyük bir artıdır. Özellikle konu Web Uygulama Güvenliği ise bu olmazsa olmaz bir maddedir. Eğer herhangi bir web programlama dili ile çok fazla haşır neşir olmadıysanız, Ruby/Rail, PHP ve Python/Django eğitimlerine göz atmanızı öneririm. Özellikle de PHP’yi önermekteyim.
Eleminasyon
Başvuru yapanlar arasından bir seçim yapmamız gerektiği aşikar. Bu noktada gene sınav yapmayı düşünüyoruz. Sınavda Linux, Web Teknolojileri, Veri tabanı sisteleri ve Programlama Tecrübesi ve Güvenlik bilgisi’ni ölçeceğiz.
Konu içeriği genel olarak hazır durumda. Tabiki burada yazmayan bir çok spesifik noktaya değineceğimiz 11 günlük bir eğitimimiz var. Sorularınız veya aklınıza takılanları bana veya Barkın Kılıç’a mail atabilirsiniz.
Konular:
- Web Uygulama Teknolojisi
- Web protokolleri ve web sitelerinin çalışma mantığı
- İnternet tarayıcıları
- Web Uygulama Sunucusu
- Web uygulamalarının sunucuda çalışma mantıkları
- HTTP Protokolü
- Talep türleri
- HTTP parametreleri
- HTTP başlık bilgileri
- Çerezler
- CSP komutları, X-forwarded-for, …
- Veri tabanı sistemleri
- İlişkisel veri tabanı sistemleri
- Veri tabanı davranışları
- İlişkisel olmayan (NoSQL) veri tabanı sistemleri
- Web Uygulama Saldırıları
- Kullanıcı girdileri
- Güvenlik testi araçları
- Firefox ve gerekli eklentiler
- ZAProxy, w3af, sqlmap, …
- OWASP Top #10
- Injection Saldırıları
- SQL Injection saldırıları ve tipleri
- Command Injection saldırıları
- Cross-Site Scripting
- Reflected XSS
- Stored XSS
- Dom based XSS
- Zararlı dosya yükleme saldırıları
- CSRF Saldırıları
- IDOR
- Oturum ve yetkilendirme zafiyetleri
- Hassas veri ifşası
- Doğrulanmamış yönlendirme zafiyetleri
- Yanlış Güvenlik Yapılandırılması
- Bilinen zafiyetli bileşenleri kullanma
- Injection Saldırıları
- Arka kapı oluşturma ve kullanma
- Versiyon Yönetim Sistemlerini saldırgan gözüyle incelemek
- Web uygulamalarına yönelik DoS/DDoS saldırıları
- Caching mekanizmaları
- Dar boğazlara yapılan saldırılar
- Web uygulama güvenlik duvarları
- WAF nedir ?
- WAF saldırı tespit mantığı
- WAF atlatma yöntemleri
- Güvenli Yazılım Geliştirme
- Yazılım güvenliği ve risk ilkeleri
- Güvenli yazılım geliştirme sürecine giriş
- Girdi kontrolü
- Blacklisting yaklaşımı
- Whitelisting yaklaşımı
- Oturum yönetimi
- Şifre politikaları
- Erişim kontrolü
- Kriptoloji
- Hata yakalama ve kayıt etme
- Veri koruması
- İletişim güvenliği
- Sunucu – Kullanıcı arası iletişim
- Sunucu – Sunucu arası iletişim
- Sistem ve web sunucu ayarları
- Veri tabanı güvenliği ve veri tutarlılığı
- Dosya yönetimi
- Girdi kontrolü
- Yaşanmış örnekler