Online Güvenli Yazılım Geliştirme Eğitimi

Bu eğitim, güvenli yazılım geliştirmekle ilgilidir. Güvenli kodlama pratiklerini, yaygın güvenlik hatalarının anlaşılabilir parçalar halinde sınıflandırılması suretiyle anlatmaya çalışağız. Bu çerçeve içinde eğitim, geliştiriciler ve yazılım analistleri için daha faydalı olacaktır.

Güvenlik, herhangi bir yazılım üretim metodolojisinin ve uygulamasının ayrılmaz bir parçası olmalıdır. Bununla birlikte, geliştirme karmaşık bir süreçtir ve bir yazılımı zaman geçtikçe güvende tutmak son derece zordur. Güvenli bir yazılım üretmek için kullanılacak çok sayıda güvenlik aracı, metodoloji ve doküman vardır. Ancak yine de birçok uygulama kritik güvenlik hataları içerir. Bu hataların çoğu, yazılım güvenliği anti-patern’ler olarak adlandırdığımız kötü kodlama kalıplarından, yani hatalardan kaynaklanır.

Bir anti-patern, genellikle etkisiz, daha da kötüsü risk taşıyan, tekrar eden bir soruna verilen yaygın bir tepkidir.  Daha basit bir deyişle, anti-patern’ler genellikle sorunlara karşı tekrar tekrar icat edilen kötü çözümlerdir.

Örneğin, yazılım geliştirmedeki popüler anti-patern’lerdan biri Spaghetti Code‘dur. Kodlamayı yeni öğrenirken yani henüz tecrübeli değilken, genellikle modülerliğin önemine aşina olmayız veya önce tasarım yapmak için çok az zamanımız olur. Bu nedenle, son derece karmaşık, modüler olmayan yazılımlar üretme eğiliminde oluruz. Bu kodlama yöntemi Spagetti Kodu üretir ve bu şekilde bile olsa, yazılan ürün yine de production’a çıkabilir. Ancak yeni değişikliklere uyum sağlamak son derece zordur. Çünkü kod modüler veya yapılandırılmış olmadığı için yeni özellikler eklemek kolay olmaz. Ayrıca, koddaki herhangi bir değişiklik, diğer akışları öngörülemeyen bir şekilde etkiler. Kodun karmaşık formu, yeni geliştiricilerin adaptasyonlarında hayatlarını zorlaştıracağından bakım bile yapılamaz hale gelir.

Benzer şekilde, tekrarlayan güvenlik hatalarına yol açan kötü tasarım veya kodlama seçimleri vardır. Bilgisayar korsanlarının kurbanı olmamak için bu yazılım güvenliği hatalarının farkında olmak önemlidir. Eğitim, dokuz farklı temel hata içermektedir. Bu hatalardan bazıları diğerlerinden daha yaygın olabilir ancak yazılımlar için hepsi ölümcül riskler içermektedir.

Her derste, önce belirli anti-patern’in ne ile ilgili olduğunu açıklamaya çalışacağız. Ardından, bu hata yapıldığında neyin yanlış gidebileceğine dair bir veya daha fazla demo göstererek hatayı pekiştireceğiz. Her dersin sonunda, güvenli olmayan tasarım veya kodlama seçimlerine karşı yaygın olarak kabul görmüş çözümlere bakacağız.

Eğitmen Hakkında

Bedirhan Urgun, 15 yılı aşkın süredir yazılım güvenliği alanında çalışmaktadır. Bu süre zarfında hem bilgi güvenlik uzmanı hem de geliştirici olarak, kamu kurumlarında ve özel sektörlerde görevler aldı. Yazılım güvenliği, eğitimleri ve statik kod analizi kariyerinin temelini oluştururken, zafiyet yönetimi ve güvenlik sızma testleri alanlarında da sorumluluklar almıştır.

Yüz yüze uygulamalı eğitim portföyü; web/mobil uygulama penetrasyon testleri, web servisleri güvenliği ve ağırlıklı olarak güvenli kod yazma eğitimlerinde oluşmaktadır. Bugüne kadar 2000’nin üzerinde geliştiriciye teorik ama daha çok pratik ağırlıklı .NET ve JAVA güvenli yazılım geliştirme eğitimleri verme şansı bulmuştur.

İstanbul’da yaşamaktadır ve SourceFlake adında butik bir güvenli yazılım şirketine sahiptir.

Neler Öğreneceğiz?

  • Geliştiricilerin düştüğü yinelenen güvenlik tuzakları
  • Birçok ünlü yazılım zafiyetlerinin yönetilebilir ve pratik kök nedenleri
  • Güvenlik hatalarını yazılımlarımızdaki belirli kodlama modelleriyle eşleştirme yeteneği
  • Girdi doğrulamanın güvenli ve güvenli olmayan yolları
  • Kodlama sırasında refleksif olarak sorulması gereken güvenlik soruları
  • Ünlü güvenlik hatalarına aşinalık; XXE, Session Puzzling, Mass Assignment, XSS, Directory Traversal, IDOR and more
Eğitim takvimini inceleyerek eğitim programınızı oluşturun!

Online Güvenli Yazılım Geliştirme Eğitimi İçeriği

Eğitim içeriklerini görmek için başlıklara tıklayınız

  • Eğitime Genel Bakış
  • Yardımcı Terimler
  • Yazılım Güvenliği Anti-Patern’leri Nedir?
  • Wason’un 2-4-6 Deneyi
  • Bir İşitme İllüzyonu
  • Internet’in Çöküşü: Heartbleed
  • Heartbleed Detayları
  • Güvenli Olmayan Dosya Yükleme
  • Demo 1
  • Çözüm Önerileri
  • Özet
  • Demo 1
  • XML External Entity Saldırısı
  • Demo 2
  • Güvensiz Sertifika Denetimi
  • Demo 3
  • Çözüm Önerileri
  • Özet
  • Güvensiz Doğrudan Nesne Referansı (IDOR)
  • Demo 1
  • PostBacks’lerde Eksik Erişim Kontrolleri
  • Demo 2
  • Çözüm Önerileri
  • Özet
  • SQL Injection
  • Demo 1
  • XPath Injection
  • Demo 2
  • Çözüm Önerileri
  • Nötrleştirme
  • Özet
  • Cross Site Scripting
  • Karaliste Filtrelerini Atlatmak
  • Demo 1
  • .NET Request Validation
  • Demo 2
  • Çözüm Önerileri
  • Özet
  • Regular Expression DOS
  • Demo 1
  • Dizin Gezinimi
  • Demo 2
  • Çözüm Önerileri
  • Özet
  • jsTree - Cross Site Scripting
  • Demo 1
  • XStream - Java Deserialization
  • Demo 2
  • React - Güvensiz API Kullanmak
  • Demo 3
  • Çözüm Önerileri
  • Özet
  • X-Forwarded-For
  • Demo 1
  • CAPTCHA Tekrarlama Saldırısı
  • Demo 2
  • Session Overriding
  • Demo 3
  • İstemci Taraflı Kontroller
  • Çözüm Önerileri
  • Özet
  • Mass Assignment
  • Demo 1
  • Twitter IDOR & HPP
  • Çözüm Önerileri
  • Özet
  • Beyazliste
  • Karaliste
  • Temizleme
  • Encoding
  • Normalizasyon
Kimler Katılmalı
Kurumsal ortamlarda çalışan yazılım geliştiriciler ve yazılım güvenliği konusunda çalışmalar yapan kişiler için yarar sağlayacaktır. Güvenlik bug’larına dair ön bilgi gerekmemektedir.
Kıdemli Siber Güvenlik Eğitmenlerimiz

Diğer

Sertifikalı SOC Analist (CSA) Eğitimi
Sertifikalı SOC Analist (CSA) Eğitimi

Sertifikalı SOC Analist (CSA) Eğitimi, Siber Güvenlik Operasyon Merkez...

DEVAMI
Windows Sistemlere Yönelik Saldırı, Tespit ve Savunma Yöntemleri Eğitimi
Windows Sistemlere Yönelik Saldırı, Tespit ve Savunma Yöntemleri Eğitimi

Windows Sistemlere Yönelik Saldırı, Tespit ve Savunma Yöntemleri Eğiti...

DEVAMI
Sertifikalı Siber Tehdit İstihbarat Analisti (CTIA) Eğitimi
Sertifikalı Siber Tehdit İstihbarat Analisti (CTIA) Eğitimi

Sertifikalı Siber Tehdit İstihbarat Analisti (CTIA) programı, dünya ça...

DEVAMI
PCI DSS Uygulayıcı Eğitimi
PCI DSS Uygulayıcı Eğitimi

PCI DSS eğitimi bankalar tarafından üye işyerleri ve ödeme servis sağl...

DEVAMI
Bankacılık Sektörüne Özel SWIFT Güvenliği Eğitimi
Bankacılık Sektörüne Özel SWIFT Güvenliği Eğitimi

Bankacılık Sektörüne Özel SWIFT Güvenliği Eğitimi; BGA Security olarak...

DEVAMI
Ağ Güvenliği ve Siber Defans Eğitimi
Ağ Güvenliği ve Siber Defans (CND) Eğitimi

Ağ Güvenliği ve Siber Defans Eğitimi ile siber güvenlik kariyerinize y...

DEVAMI
Sertifikalı SOME Uzmanlığı Eğitimi
Sertifikalı SOME Uzmanlığı (ECIH) Eğitimi

Bilişim sistemlerinde yaşanan ihlal olayları profesyonel bakış açısıyl...

DEVAMI
LPIC-1 SysAdmin Sertifikasyon Hazırlık Eğitimi
LPIC-1 SysAdmin Sertifikasyon Hazırlık Eğitimi

Linux dünyasında LPI sınavı olarak adlandırılan sertfikasyon LPIC1, LP...

DEVAMI
SOC Analist Eğitimi
SOC Analist Eğitimi

SOC Analist Eğitimi; güvenlik ürünlerine ve insana yapılan yatırımları...

DEVAMI
SIEM Korelasyon Eğitimi
SIEM Korelasyon Eğitimi

Günümüzde merkezi loglama alt yapılarını kurabilmek için ciddi miktard...

DEVAMI
Kurumsal SOME Eğitimleri
Kurumsal SOME Eğitimleri

Siber Güvenlik Kurulu’nun ilk toplantısında “Ulusal Siber Güvenlik Str...

DEVAMI
Ec-Council Certified Secure Programmer (ECSP) Eğitimi
Ec-Council Certified Secure Programmer (ECSP) Eğitimi

Ec-Council tarafından geliştirilmiş Güvenli Kod Geliştirme uzmanı eğit...

DEVAMI
ISO 27001 Bilgi Güvenliği Yönetimi Eğitimi
ISO 27001 Bilgi Güvenliği Yönetimi Eğitimi

BGA-ISO27001 , bilgi güvenliği yönetimi sistemi gereksinimlerini tanım...

DEVAMI
Ec-Council Licensed Penetration Tester (LPT) Eğitimi
Ec-Council Licensed Penetration Tester (LPT) Eğitimi

Ec-Council tarafından geliştirilmiş Lisanslı Penetrasyon Test uzmanı e...

DEVAMI
Ec-Council CEH (Certified Ethical Hacker) Eğitimi
Ec-Council Certified Ethical Hacker (CEH) Eğitimi

Ec-Council tarafından geliştirilmiş CEH sertifikasyonu eğitim programı...

DEVAMI
Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi
Bankalara Özel BDDK Kapsamlı Sızma Testi Eğitimi

Siber ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir d...

DEVAMI
Bilgi Güvenliği Farkındalık Eğitimi
Bilgi Güvenliği Farkındalık Eğitimi

Bilgi güvenliğini tehdit eden risklerin başında çalışanların güvenlik...

DEVAMI
Firewall / IPS Güvenlik Testleri Eğitimi
Firewall / IPS Güvenlik Testleri Eğitimi

Firewall/IPS Pentest eğitimi, günümüz bilgi güvenliği koruma katmanlar...

DEVAMI
Veritabanı Güvenliği Denetim Teknikleri Eğitimi
Veritabanı Güvenliği Denetim Teknikleri Eğitimi

Uçtan uca veri tabanı güvenliğinin teknik ve regüslasyon tarafları der...

DEVAMI
Siber Suçlar ve Analiz Yöntemleri Eğitimi
Siber Suçlar ve Analiz Yöntemleri Eğitimi

Gerçek hayattan alınmış örneklerle siber suçların motivasyonu, siber s...

DEVAMI
Saldırı Tespit, Analiz ve Log Yönetimi Eğitimi
Saldırı Tespit, Analiz ve Log Yönetimi Eğitimi

Şirketlerin bilgi güvenliğinde önemli bir yeri olan log yonetimi ve an...

DEVAMI
Oracle Veritabanı Güvenliği Eğitimi
Oracle Veritabanı Güvenliği Eğitimi

Kurumsal şirketlerin en kritik bileşenlerinden biri olan Oracle verita...

DEVAMI
Linux Ağ ve Sistem Güvenliği Eğitimi (LASG)
Linux Ağ ve Sistem Güvenliği Eğitimi (LASG)

Kurumsal iş ortamlarında kullanılan Linux sistemlerin güvenliğine hem...

DEVAMI
Bilgi Güvenliği İhlal Olayı Yönetimi Eğitimi
Bilgi Güvenliği İhlal Olayı Yönetimi Eğitimi

Kamu kurumları ve kurumsal iş ortamlarında yaşanan bilişim güvenliği i...

DEVAMI
Güvenlik Sistemleri Test ve Atlatma Teknikleri Eğitimi
Güvenlik Sistemleri Test ve Atlatma Teknikleri Eğitimi

Siber güvenliğin sağlanmasında en güvenli yol katmanlı güvenlik mimari...

DEVAMI
Advanced Citrix Netscaler Web Application Firewall & DDOS Eğitimi
Advanced Citrix Netscaler Web Application Firewall & DDOS Eğitimi

Web Application Firewall ve DDoS engelleme konusunda Pazar lideri olan...

DEVAMI
Network Forensics Eğitimi
Network Forensics (CHFI) Eğitimi

Günümüz teknoloji dünyasının en önemli bileşeni sayılabilecek bilgisay...

DEVAMI
OpenBSD Packet Filter Güvenlik Duvarı Eğitimi
OpenBSD Packet Filter Güvenlik Duvarı Eğitimi

OpenBSD işletim sistemi ve işletim sistemi ile birlikte gelen Packet F...

DEVAMI
Açık Kod Güvenlik Sistemleri Eğitimi
Açık Kod Güvenlik Sistemleri Eğitimi

Açık kod güvenlik yazılımları kullanarak orta ve büyük ölçekli ağların...

DEVAMI
DDOS Saldırıları ve Korunma Yolları Eğitimi
DDOS Saldırıları ve Korunma Yolları Eğitimi

Web uygulamalarına yönelik güncel saldırı çeşit ve yöntemlerinin uygul...

DEVAMI
Kurumsal Ağlarda Malware (Zararlı Yazılım) Analizi Eğitimi
Kurumsal Ağlarda Malware (Zararlı Yazılım) Analizi Eğitimi

Malware Analiz eğitimin temel amacı kurumsal ağ ortamlarında sık rastl...

DEVAMI
Siber Güvenlik Uzmanı Eğitimi
Siber Güvenlik Uzmanı Eğitimi

Bu eğitimle katılımcılar siber dünyanın sınırlarını tanıyarak gerçekle...

DEVAMI
Sızma Test Uzmanları için Pratik Programlama Eğitimi
Sızma Test Uzmanları için Pratik Programlama Eğitimi

Scripting For Pentester (Sızma Test Uzmanları için Pratik Programlama...

DEVAMI
Metasploit Framework Güvenlik Testi Eğitimi
Metasploit Framework Güvenlik Testi Eğitimi

Exploit Geliştirme Çatıları arasında popüler olan ve başarılı sızma de...

DEVAMI
Nessus Vulnerability Assessment Eğitimi
Nessus Vulnerability Assessment Eğitimi

Ücretsiz olarak kullanılabilen popüler zayıflık tarama aracı Tenable N...

DEVAMI
Web Uygulama Güvenlik Testleri Eğitimi
Web Uygulama Güvenlik Testleri Eğitimi

Web uygulamalarına yönelik güncel saldırı çeşit ve yöntemlerinin uygul...

DEVAMI
Sızma Testi Planlarken
Kablosuz Ağ Güvenlik Testleri Eğitimi

Kablosuz ağlara yönelik güncel saldırı çeşit ve yöntemlerinin uygulama...

DEVAMI
Network Güvenlik Testleri Eğitimi
Network Güvenlik Testleri Eğitimi

Ağ güvenliğine yönelik güncel saldırı yöntem ve çeşitlerinin uygulamal...

DEVAMI
Mobil Uygulama Güvenlik Denetimi Eğitimi
Mobil Uygulama Güvenlik Denetimi Eğitimi

Mobil uygulamalara yönelik güncel saldırı yöntemlerinin ve güvenlik za...

DEVAMI
Sertifikalı Ağ Güvenliği Uzmanı Eğitimi
Sertifikalı Ağ Güvenliği Uzmanı Eğitimi

Uygulamalı Ağ Güvenliği ve İleri Seviye Ağ Güvenliği eğitimlerinin bir...

DEVAMI
PfSense Güvenlik Duvarı Eğitimi
PfSense Güvenlik Duvarı Eğitimi

Açık kod UTM(bütünleşik güvenlik sistemi) pfSense’in kurumsal iş ortam...

DEVAMI
DNS Güvenliği Eğitimi
DNS Güvenliği Eğitimi

İnternetin en önemli protokollerinden olan DNS(Domain Name Service) ça...

DEVAMI
Snort IPS (Intrusion Prevention System) Eğitimi
Snort IPS (Intrusion Prevention System) Eğitimi

Açık kaynak kodlu Saldırı Tespit ve Engelleme Sistemi Snort’un kurumsa...

DEVAMI
Beyaz Şapkalı Hacker (CEH) Eğitimi
Beyaz Şapkalı Hacker (C.E.H) Eğitimi

Beyaz Şapkalı Hacker (Certified Ethical Hacker) yetiştirme amaçlı bir...

DEVAMI
CISSP Sertifikası Hazırlık Eğitimi
CISSP Sertifikası Hazırlık Eğitimi

Bilgi güvenliği sektörünün en önemli sertifikalarından biri olan CISSP...

DEVAMI
İleri Seviye Ağ Güvenliği Eğitimi
İleri Seviye Ağ Güvenliği Eğitimi

Bilişim güvenliğinin en önemli bileşeni olan ağ güvenliği konusunda ür...

DEVAMI
Uygulamalı Ağ Güvenliği Eğitimi
Uygulamalı Ağ Güvenliği Eğitimi

Güvenlik dünyasına ilk adım; bir networkün nasıl çalıştığı, ve kullanı...

DEVAMI
Ağ ve Güvenlik Yöneticileri için Linux Eğitimi
Ağ ve Güvenlik Yöneticileri için Linux Eğitimi

Ağ/güvenlik departmanı çalışanlarının Linux/UNIX sistemleri gerçek hay...

DEVAMI
kali linux eğitimi
Kali Linux 101 Eğitimi

Temel seviyede Kali Linux kullanımı anlatan ücretsiz online eğitimdir....

DEVAMI
Yöneticiler İçin Bilgi Güvenliği Eğitimi
Yöneticiler İçin Bilgi Güvenliği Eğitimi

Kurumsal şirketlerde Bilgi İşlem dışındaki birim yöneticilerini siber...

DEVAMI
Güvenli Yazılım Geliştirme Eğitimi
Güvenli Yazılım Geliştirme Eğitimi

Güvenlik önlemlerinin erken alınması temel prensiptir. Bu prensiple yo...

DEVAMI
Sertifikalı / Lisanslı Pentest Uzmanlığı Eğitimi
Sertifikalı / Lisanslı Pentest Uzmanlığı Eğitimi

Sızma testleri (Pentest) günümüz kurumsal firmalarının güvenlik politi...

DEVAMI