Merhabalar,
Linux Yaz Kampı her sene olduğu gibi bu senede 7 – 23 Ağustos 2015 tarihlerinde Bolu Abant İzzet Baysal Üniversitesi’nde gerçekleşecek. Başta LKD ekibi ardından AİBÜ olmak üzere bir çok gönüllünün taşın altına elini koyduğu bir organizasyon olan LYK, benim ve tabikide vazgeçilmez ekip/eğitmen arkadaşım Barkın Kılıç, güzel ve “özel” insan Ayşe Bilge Gündüz ile birlikte açacağımız Web Uygulama Güvenliği ve Güvenli Kod Geliştirme kursuna ev sahipliği yapacak.Aynı kursu LYK 2014 etkinliğinde gene aynı eğitmen kadro ile birlikte gerçekleştirmiştik. Geçtiğimiz sene LYK’dan önce Mersin’de düzenlenmiş olan Akademik Bilişim’de Güvenlik 101 dersi vererek bir alt yapı hazırlayıp ardından LYK’da 15 gün sürece bomba bir eğitim yapmayı planlamış ve yapmıştık. Bu sene ise Eskişehir’de düzenlenen Akademik Bilişim 2015’te konuyu sadece web uygulamaları ile sınırlandırıp Web Uygulama Güvenliği ve Sızma Testleri Kursu verdik. Şimdi ise LYK 2015’te daha detaylı ve uzun uzadıya ele almak adına Web Uygulama Güvenliği ve Güvenli Kod Geliştirme kursunu veriyor olacağız.
Unutmadan! belirtmek lazım ki, LYK ve AB kısaltmaları ile kullandığımız Linux Yaz Kampı ve Akademik Bilişim etkinliklerinde ki hiçbir kurs için ücret talep edilmemektedir. Bir diğer ifade ile, sizler kursa katılmak için para ödemiyorsunuz, bizler -yani eğitmenler- ise kurs verdikleri için ücret almıyoruz. Bizler 15 gün gönüllü olup bilgilerimizi/tecrübelerimizi paylaşmaya hazırız, sizlerden de 15 gün “gönüllü” olmanızı talep ediyoruz :-)
Söylemeden geçemeyeceğim. AB 2015 sanırım bir çok eğitmen arkadaş içinde efsane bir etkinlikti. Özellikle 100+ eğitmen, onlarca öğrenci, harika organize olmuş bir Üniversite ile birlikte süper 4 gün geçirdik. Sınıfımızı ziyarete gelen Ruby/RoR hocamız, Tayfun Öziş ve ödül töreninde muhabbet etme fırsatı bulduğum saygı değer arkadaşım Volkan Oransoy’a buradan selamlar. Çektiğiniz fotoğrafları artık yayınlayın :-)
Hemen kurslara başvuru yapmadan önce bir kaç kelâm daha etmek gerek.
Tavsiyeler
Bende,sizlerde “Güvenlik” alanının ne kadar cezbedici olduğunu biliyoruz. Bu nedenle bir çok arkadaş bu kursu seçmek isteyecektir.
- Linux tecrübesi edinmek, güvenlik dahil bir çok alanda çok önemlidir. Bu nedenle “ben iki ubuntu kurdum, kullanıyorum yeter.” demeyin, Linux Sistem Yönetimi kursuna gidin. Göreceksiniz ki orada anlatılanların hepsi altın değerinde. Ayrıca bir daha böyle kaliteli eğitmenleri bulabileceğiniz bir eğitim fırsatınız olmayabilir.
- Güvenlik alanında çalışma yapmak için programlama dili tecrübesi büyük bir artıdır. Özellikle konu Web Uygulama Güvenliği ise bu olmazsa olmaz bir maddedir. Eğer herhangi bir web programlama dili ile çok fazla haşır neşir olmadıysanız, Ruby/Rail, PHP ve Python/Django eğitimlerine göz atmanızı öneririm. Özellikle de PHP’yi önermekteyim.
Eleminasyon
Başvuru yapanlar arasından bir seçim yapmamız gerektiği aşikar. Bu noktada gene sınav yapmayı düşünüyoruz. Sınavda Linux, Web Teknolojileri, Veri tabanı sisteleri ve Programlama Tecrübesi ve Güvenlik bilgisi’ni ölçeceğiz.
Konu içeriği genel olarak hazır durumda. Tabiki burada yazmayan bir çok spesifik noktaya değineceğimiz 11 günlük bir eğitimimiz var. Sorularınız veya aklınıza takılanları bana veya Barkın Kılıç’a mail atabilirsiniz.
Konular:
- Web Uygulama Teknolojisi
- Web protokolleri ve web sitelerinin çalışma mantığı
- İnternet tarayıcıları
- Web Uygulama Sunucusu
- Web uygulamalarının sunucuda çalışma mantıkları
- HTTP Protokolü
- Talep türleri
- HTTP parametreleri
- HTTP başlık bilgileri
- Çerezler
- CSP komutları, X-forwarded-for, …
- Veri tabanı sistemleri
- İlişkisel veri tabanı sistemleri
- Veri tabanı davranışları
- İlişkisel olmayan (NoSQL) veri tabanı sistemleri
- Web Uygulama Saldırıları
- Kullanıcı girdileri
- Güvenlik testi araçları
- Firefox ve gerekli eklentiler
- ZAProxy, w3af, sqlmap, …
- OWASP Top #10
- Injection Saldırıları
- SQL Injection saldırıları ve tipleri
- Command Injection saldırıları
- Cross-Site Scripting
- Reflected XSS
- Stored XSS
- Dom based XSS
- Zararlı dosya yükleme saldırıları
- CSRF Saldırıları
- IDOR
- Oturum ve yetkilendirme zafiyetleri
- Hassas veri ifşası
- Doğrulanmamış yönlendirme zafiyetleri
- Yanlış Güvenlik Yapılandırılması
- Bilinen zafiyetli bileşenleri kullanma
- Injection Saldırıları
- Arka kapı oluşturma ve kullanma
- Versiyon Yönetim Sistemlerini saldırgan gözüyle incelemek
- Web uygulamalarına yönelik DoS/DDoS saldırıları
- Caching mekanizmaları
- Dar boğazlara yapılan saldırılar
- Web uygulama güvenlik duvarları
- WAF nedir ?
- WAF saldırı tespit mantığı
- WAF atlatma yöntemleri
- Güvenli Yazılım Geliştirme
- Yazılım güvenliği ve risk ilkeleri
- Güvenli yazılım geliştirme sürecine giriş
- Girdi kontrolü
- Blacklisting yaklaşımı
- Whitelisting yaklaşımı
- Oturum yönetimi
- Şifre politikaları
- Erişim kontrolü
- Kriptoloji
- Hata yakalama ve kayıt etme
- Veri koruması
- İletişim güvenliği
- Sunucu – Kullanıcı arası iletişim
- Sunucu – Sunucu arası iletişim
- Sistem ve web sunucu ayarları
- Veri tabanı güvenliği ve veri tutarlılığı
- Dosya yönetimi
- Girdi kontrolü
- Yaşanmış örnekler
Başvuru
Durma hemen başvur! Ama öncelikle S.S.S iyice oku;9
http://kamp.linux.org.tr/2015/kurslar/web-uygulama-guvenligi-ve-guvenli-kod-gelistirme/
Aklınızdaki tüm sorulaır yorum olarak yazabilirsiniz. Gün içerisinde tek tek cevap veriyor olacağım.