BGA Güvenli Yazılım Geliştirme Eğitimi

 

Bilgi Güvenliği AKADEMİSİ olarak Türkiye’de ihtiyaç duyulan önemli eğitimlerden birisini daha sunmak üzereyiz. Eğitimimizin adı “Güvenli Yazılım Geliştirme Eğitimi.”


Eğitim, tamamen yazılımcılara özel tasarlanmış ve teori ile pratiği birleştirecek şekilde güncel örneklerle desteklenmiştir. Şimdilik genele açılması planlanmayan güvenli yazılım geliştirme eğitimi Temmuz 2011 itibariyle  kurumsal müşterilere açıktır. 

 

Giriş

  • Doğrulama Eğilimi ve Şüpheci Yaklaşım

    • Yazılım Güvenliği
    • Yazılım Güvenliği Gelişimi
    • Güvenli Yazılım Geliştirme Döngüleri
    • Güvenli Yazılım Olgunluk Modelleri

Background

  • Geliştici Perspektifinden Web Standardları (HTTP/HTML/JS/URL/Encodings/SQL)
  • Web Uygulama Proxy’leri / Güvenlik Firefox Eklentileri
  • Lab Ortamı Kurulumları ve Tanıtımları

    • WebGoat / Eclipse
    • HackmeBank / MS Visual Studio

Güvenli Girdi Kontrolü

  • Cross Site Scripting (XSS)
  • XSS Önleme Teknikleri – Genel

    • AntiXSS Output Encodings
    • OWASP-ESAPI-Java Output Encodings
    • Framework Çözümleri (.NET MVC, Request Validation, JSTL, JSON, v.b.)
    • SQL Injection

      • SQL Injection Önleme Teknikleri – Genel
      • Query Escaping
      • OWASP-ESAPI-Java DB Metotları
      • Query Escaping Problemleri (SQL Truncation Saldırıları)
      • Prepared Statements
      • Parameterized Stored Procedures
      • ORM Çözümleri (Linq2SQL, Hibernate, v.b.)
      • Arbitrary File Uploads

        • Güvenli Upload Stratejileri
        • SecureImage ile Resim Yüklemeleri

      • Digerleri (RFI/LFI,OS,CR/LF,LDAP,XPath)
      • OWASP-ESAPI-Java Escaping metotları
      • Girdi Denetimi Stratejileri

        • Regular Expressions
        • Beyazliste vs. Karaliste
        • Merkezi vs. Dağıtık

Guvenli Kimlik Dogrulama

  • Kimlik Dogrulama Cesitleri

    • Basic Authentication
    • Windows Authentication
    • OpenID
    • Forms Authentication
    • Kaba Kuvvet, Hesap DoS Saldırıları
    • Güvenli CAPTCHA Kullanımı
    • Kaba Kuvvet Önleme Algoritmaları
    • Kimlik Doğrulama Stratejileri
    • Pozitif vs. Negatif
    • 200 OK vs. 302 Redirection
    • Güvenli Password Reset Stratejileri

Güvenli Session Yönetimi

  • Session Fixation ve Önlemi
  • Cross Site Request Forgery
  • CSRF Prevention CheatSheet
  • Java CSRFGuard
  • .NET ViewState & ViewStateUserKey
  • Session Korsanlığı
  • HttpOnly – Java Servlet Filters
  • HttpOnly – .NET

 

Güvenli Yetkilendirme

  • Insecure Direct Object Reference
  • Açık Yönlendirmeler
  • Forceful Browsing (Eksik Yetkilendirme Kontrolleri)
  • Yetkilendirme Yöntemleri
  • Java Authentication & Authorization Service
  • OWASP-ESAPI Java
  • .NET Membership

Güvenli Dizayn

  • İş Mantığı Saldırıları
  • Tehdit Modelleme
  • Güvenli Hata Yönetimi ve Kayıt Tutma
  • Log Forging
  • Yetersiz Hata Yönetimi
  • OWASP-ESAPI-Java Logging
  • Log4Net
  • Try/Catch/Finally blokları

Güvenli Kod Analizi

  • Kod Analizi Temelleri
  • Kod Analiz Araçları
  • CAT.NET
  • Java LAPSE+

Güvenli Web Servisleri ve Ajax

  • Web Servisi Zaafiyetleri ve Önlemleri
  • Ajax Zaafiyetleri ve Önlemleri