Günümüz bilişim güvenliğinin en önemli problemlerinden biri güvenlik bilinci olmadan geliştirilen yazılımlardır. Yazılım güvenliği sağlanmadan bilişim güvenliğinden söz edilemez.Yazılım geliştiriciler genel itibariyle hız ve daha fazla özellik konusuna yoğunlaşmaları nedeniyle güvenlik konusu pek önemsenmemektedir.
Çağlar Arlı Güvenli Yazılım Geliştirme Eğitimi daha güvenli ve kontrol edilebilir yazılım geliştirmek için gereken mantığı ve pratik bilgiyi aktarma amaçlı olarak yazılım geliştiricilere ve güvenlik denetimi yapan uzmanlara yönelik hazırlanmıştır.
Kimler Katılmalı
Bu eğitim, IT güvenlik görevlileri, denetçiler, güvenlik uzmanları, yazılım geliştirme uzmanları ve bilgi güvenliği konusunda çalışmalar yapan herkes için önemli ölçüde yarar sağlayacaktır.
İşleyiş ve Ön Gereksinimler
Java ve .Net platformuna özel hazırlanmış kod örnekleriyle uygulamalı olarak gerçekleştirilmektedir. Eğitime katılmak için ön şart temel programlama bilgisine sahip olmaktır.
Özet Eğitim İçeriği
Giriş
Doğrulama Eğilimi ve Şüpheci Yaklaşım
Yazılım Güvenliği
Yazılım Güvenliği Gelişimi
Güvenli Yazılım Geliştirme Döngüleri
Güvenli Yazılım Olgunluk Modelleri
Background
Geliştici Perspektifinden Web Standardları (HTTP/HTML/JS/URL/Encodings/SQL)
Web Uygulama Proxy'leri / Güvenlik Firefox Eklentileri
Lab Ortamı Kurulumları ve Tanıtımları
WebGoat / Eclipse
HackmeBank / MS Visual Studio
Güvenli Girdi Kontrolü
Cross Site Scripting (XSS)
XSS Önleme Teknikleri - Genel
AntiXSS Output Encodings
OWASP-ESAPI-Java Output Encodings
Framework Çözümleri (.NET MVC, Request Validation, JSTL, JSON, v.b.)
SQL Injection
SQL Injection Önleme Teknikleri - Genel
Query Escaping
OWASP-ESAPI-Java DB Metotları
Query Escaping Problemleri (SQL Truncation Saldırıları)
Prepared Statements
Parameterized Stored Procedures
ORM Çözümleri (Linq2SQL, Hibernate, v.b.)
Arbitrary File Uploads
Güvenli Upload Stratejileri
SecureImage ile Resim Yüklemeleri
Digerleri (RFI/LFI,OS,CR/LF,LDAP,XPath)
OWASP-ESAPI-Java Escaping metotları
Girdi Denetimi Stratejileri
Regular Expressions
Beyazliste vs. Karaliste
Merkezi vs. Dağıtık
Guvenli Kimlik Dogrulama
Kimlik Dogrulama Cesitleri
Basic Authentication
Windows Authentication
OpenID
Forms Authentication
Kaba Kuvvet, Hesap DoS Saldırıları
Güvenli CAPTCHA Kullanımı
Kaba Kuvvet Önleme Algoritmaları
Kimlik Doğrulama Stratejileri
Pozitif vs. Negatif
200 OK vs. 302 Redirection
Güvenli Password Reset Stratejileri
Güvenli Session Yönetimi
Session Fixation ve Önlemi
Cross Site Request Forgery
CSRF Prevention CheatSheet
Java CSRFGuard
.NET ViewState & ViewStateUserKey
Session Korsanlığı
HttpOnly - Java Servlet Filters
HttpOnly - .NET
Güvenli Yetkilendirme
Insecure Direct Object Reference
Açık Yönlendirmeler
Forceful Browsing (Eksik Yetkilendirme Kontrolleri)
Yetkilendirme Yöntemleri
Java Authentication & Authorization Service
OWASP-ESAPI Java
.NET Membership
Güvenli Dizayn
İş Mantığı Saldırıları
Tehdit Modelleme
Güvenli Hata Yönetimi ve Kayıt Tutma
Log Forging
Yetersiz Hata Yönetimi
OWASP-ESAPI-Java Logging
Log4Net
Try/Catch/Finally blokları
Güvenli Kod Analizi
Kod Analizi Temelleri
Kod Analiz Araçları
CAT.NET
Java LAPSE+
Güvenli Web Servisleri ve Ajax
Web Servisi Zaafiyetleri ve Önlemleri
Ajax Zaafiyetleri ve Önlemleri
Hiç yorum yok:
Yorum Gönder