• Ev
  • Eğitimler
  • Web Uygulamaları Sızma Testi (Pentest) Eğitimi

Eğitimler

Web Uygulamaları Sızma Testi (Pentest) Eğitimi

Web uygulamaları dağıtım kolaylığı nedeniyle masaüstü uygulamalara üstünlük sağlamış ve geniş uygulama alanı bulmuştur.

Bunun yanı sıra internete açık olan uygulamaların önemli bir kısmı da web uygulaması şeklindedir. Web uygulaması olmayan masaüstü uygulamalar ve mobil uygulamalar dahi web uygulama mimarisinin önemli bir kısmı olan HTTP protokolünü kullanmaktadır.

Bunların yanı sıra web uygulamaları çok katmanlı mimariye sahip olup, bu durum nispeten web uygulama altyapılarının sıradan masaüstü uygulamalara nazaran karmaşık olmalarına neden olmaktadır.

Tüm bu nedenlerden dolayı web uygulamaları saldırganların gözde hedeflerinden birisidir.

Web uygulamaları sızma testi eğitiminde katılımcılara web uygulamalarında ortaya çıkabilecek açıklıkların neler olduğu, bu açıklıkları nasıl tespit edebilecekleri ve açıklıkların ortadan kaldırılma yöntemleri aktarılmaktadır.

Web uygulamaları sızma testi eğitimi, mobil uygulama sızma testi yapacak katılımcılara da gerekli temel web teknolojileri bilgilerini aktarmayı hedeflemektedir.

web

Eğitim Detayı

Ön Koşullar

Katılımcıların web teknolojileri (HTML, Javascript, bir web uygulama geliştirme dili gibi) ve veritabanı teknolojileri (SQL cümle yapısı gibi) ile ilgili temel bilgi  sahibi olmaları gerekmektedir.

Eğitim İçeriği

  • Web Uygulama Mimarisi
    • Taracıyı
      • HTML
        • Önemli HTML Tagleri
        • HTML Encoding
      • Javascript
        • Encode
        • Obfuscate
        • Minify-Beautify Etme
        • Javascript Debug Etme
        • Jquery
      • CSS ve Diğer Dosyalar
      • Applet
    • Web Sunucusu
    • Uygulama Sunucusu
    • Veri Tabanları ve Diğer Sistemler
  • Ağ Servis Uygulamaları
    • TCP/IP Modeli
    • UDP
    • Basit http Servis Örneği
    • DNS
  • HTTP Protokolü
    • Metodlar
    • Statü Kodları
      • Güvenlik Açısından Önemli Yanıt Başlıkları
    • Kullanıcı Tanılama Yöntemleri(Basic, NTML, vb.)
    • Başlıklar
      • Cookie ve Kullanımı
  • HTTPS Protokolü
    • Kriptografi Kavramları
    • Simetrik ve Asimetrik Kriptolama
    • Hibrit Kriptolama (SSL)
    • Sertifika’nın Teknik Tanımı
    • Sertifika Kontrolleri
    • Man In the Middle(MITM) yöntemleri
  • Web Sunucu Katmanına Yönelik Saldırılar
  • XSS (Cross Site Scripting) Açıklıkları
    • Yansıtılan(Reflected) XSS Açıklıkları
    • Saklanan(Stored) XSS Açılıkları
    • DOM Tabanlı XSS Açılıkları
  • Erişim Kontrol Açıklıkları
    • Dikey Erişim İhlali
    • Yatay Erişim İhlali
    • Geçerli Kullanıcı Belirleme
    • Diğer Erişim Kontrol Açıklıkları
    • Statik İçeriklere Doğrudan Erişim
  • Dizin Aşım Açıklıkları
  • İstemci Taraflı Kontrollerin Aşılması
  • Local/Remote File Inclusion
  • Uygulama Sunucu Yönetim Açıklıkları
  • Oturum Yönetim Açıklıkları
    • Session Fixation
    • Oturum Parametre Rassallık Analizi
    • Güvenli Çıkış Fonksiyon Hataları
  • Cookie Riskleri
    • Cookie Özellikleri
    • Kalıcı Cookie
  • File Upload Riskleri
  • CSRF Saldırıları
  • Redirection Açıklıkları
  • URL ve Referer Başlıkları
  • HTML Comment
  • Uygulama Sunucu Katmanı İnjection Açıklıkları
    • (İşletim Sistemi) Command Injection
    • Kod Injection
  • SQL Injection Saldırıları
    • SQL Injection Mantığı
    • Blind SQL Injeciton
    • Sqlmap Kullanımı
  • XPATH, LDAP, SMTP Injection
  • Web Servisleri
    • SOAP Injection
  • Mantık Hataları ve Kötüye Kullanım Senaryoları
    • Mesaj Gönderme Fonksiyonun İstenmeyen Mesajlar Üretmesi
    • Dosya Yükleme Hataları
    • Kaynak Tüketen Fonksiyon
    • Dikey Erişim İhlali
    • Yatay Erişim İhlali
    • Geçerli Kullanıcı Belirleme
    • İçeriklere Erişim
    • Yetersiz Parola Politikası
  • Jmeter ile Yük Testi (DDOS Saldırı Yöntemi)
  • İşletim Sistemini Ele Geçirme
    • SQL Injection ile
    • Dizin Aşım Açıklığı ile
    • File Upload ile
  • Web Uygulamaları Güvenlik Denetim Metodolojisi
    • Uygulama İçeriğinin Haritalanması
    • Uygulama Fonksiyonalite ve Teknoloji Analizi
    • Oturum Yönetim Testleri
    • Kullanıcı Tanılama Testleri
    • İstemci Taraflı Kontrollerin Aşılması
    • Erişim Kontrol Testleri
    • Tüm Parametrelerin Fuzz Edilmesi
    • Uygulamaya Özgü Saldırı Testleri
    • Mantık Hataları
    • Diğer Sunucu Katmanı Testleri
  • Güvenli Yazılım Geliştirme Metodolojileri
    • Touchpoints, SDL, CLASP
    • Fonksiyonalite ve Risk Analizi
  • Burp Suit Modüllerinin Kullanımı
    • Target
    • Proxy Settings
    • Proxy History
    • Spider
    • Scanner
    • Intruder
    • Repeater
    • Sequencer
    • Decoder
    • Comparer
    • Extender
    • Backend Tarama
    • Macro Kullanımı
      • CSRF Kontrolünün Aşılması
      • Sınırlı Kontrollerin Aşılması

Süre: 3 Gün

Lokasyon: İstanbul

  • Eğitim sonrasında tüm katılımcılara KATILIM BELGESİ verilir.
  • Eğitim sonrasında yapılan değerlendirme sınavı/CTF sonucu başarılı olan katılımcılara EĞİTİM SERTİFİKASI verilir