Eğitim İçeriği

Giriş

OWASP'in web güvenliğindeki amacı ve önemi üzerine genel bakış
  • OWASP En İyi 10 listesinin açıklaması
    • A01:2021-Bozuk Access Kontrolü, beşinci sıradan yükseldi; uygulamaların %94'ü bozuk erişim kontrolü için test edildi. Kırık Access Kontrole eşlenen 34 Ortak Zayıflık Numaralandırması (CWE), uygulamalarda diğer tüm kategorilerden daha fazla sayıda ortaya çıktı.
    • A02:2021-Crypto Grafik Hataları, daha önce Hassas Veri Maruziyeti olarak bilinen ve geniş bir belirti olan bir durumdan bir kök neden olarak bir adım yükseldi. Yenilenen odak noktası, genellikle hassas veri maruziyetine veya sistemden ödün vermeye yol açan kriptografi ile ilgili başarısızlıklardır.
    • A03:2021-Enjeksiyon üçüncü sıraya geriledi. Uygulamaların %94'ü bir tür enjeksiyon için test edildi ve bu kategoriye eşlenen 33 CWE, uygulamalarda en çok sayıda ortaya çıkan ikinci kategoriydi. Siteler Arası Komut Dosyası (XSS) artık bu sürümde bu kategoriye dahil edilmiştir.
    • A04:2021-Güvenli Olmayan Tasarım, 2021 için yeni bir kategoridir ve tasarım kusurlarıyla ilgili risklere odaklanmaktadır. Bir endüstri olarak gerçekten “sola kaymak” istiyorsak, tehdit modellemesi, güvenli tasarım kalıpları ve ilkeleri ile referans mimarilerinin daha fazla kullanılması gerekmektedir.
    • A05:2021-Güvenlik Yanlış Yapılandırması, önceki sürümde #6'dan yükseldi; uygulamaların %90'ı bir tür yanlış yapılandırma için test edildi. Daha fazla sayıda son derece yapılandırılabilir yazılıma geçişle, bu kategorinin yükselmesi şaşırtıcı değil. Önceki XML Harici Varlıklar (XXE) kategorisi artık bu kategorinin bir parçasıdır.
    • A06:2021-İstismar Edilebilir ve Güncel Olmayan Bileşenler, daha önce Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma olarak adlandırılıyordu ve En İyi 10 topluluk anketinde #2 sırada yer alıyordu, ancak aynı zamanda verilerin En İyi 10'u veri analizi yoluyla oluşturmasına izin verecek kadar veriye sahipti. Bu kategori 2017'de #9'dan yükseldi ve test etme ve riski değerlendirme konusunda zorlandığımız bilinen bir sorundur. Dahil edilen CWE'lere eşlenen hiçbir Ortak Güvenlik Açığı ve Maruz Kalma (CVE) bulunmamaktadır, bu nedenle varsayılan bir istismar ve etki ağırlığı 5.0, puanlarına dahil edilmiştir.
    • A07:2021-Tanımlama ve Kimlik Doğrulama Hataları, daha önce Bozuk Kimlik Doğrulama olarak adlandırılıyordu ve ikinci sıradan geriledi ve artık tanımlama hatalarıyla daha fazla ilgili CWE'leri içermektedir. Bu kategori hala En İyi 10'un ayrılmaz bir parçasıdır, ancak standartlaştırılmış çerçevelerin artan kullanılabilirliği yardımcı olmaktadır.
    • A08:2021-Yazılım ve Veri Bütünlüğü Hataları, 2021 için yeni bir kategoridir ve yazılım güncellemeleri, kritik veriler ve CI/CD boru hatları ile ilgili varsayımlara odaklanmaktadır. Bu kategorideki 10 CWE'ye eşlenen Ortak Güvenlik Açığı ve Maruz Kalma/Ortak Güvenlik Açığı Puanlama Sistemi (CVE/CVSS) verilerinden en yüksek ağırlıklı etki. 2017'den Güvensiz Seri Hale Getirme artık bu daha büyük kategorinin bir parçasıdır.
    • A09:2021-Güvenlik Kaydı ve İzleme Hataları, daha önce Yetersiz Kayıt ve İzleme olarak adlandırılıyordu ve endüstri anketinden (#3) eklendi, daha önce #10'dan yükseldi. Bu kategori, test etmenin zor olduğu ve CVE/CVSS verilerinde iyi temsil edilmediği daha fazla türdeki hatayı içermektedir. Ancak, bu kategorideki hatalar görünürlüğü, olay uyarılarını ve adli tıp araştırmalarını doğrudan etkileyebilir.
    • A10:2021-Sunucu Tarafından İstek Sahteciliği, En İyi 10 topluluk anketinden (#1) eklendi. Veriler, ortalamanın üzerinde test kapsamı ve ortalamanın üzerinde istismar ve etki potansiyeli ile nispeten düşük bir oluşum oranı göstermektedir. Bu kategori, güvenlik topluluğu üyelerinin bu konunun önemli olduğunu bize bildirdiğini, ancak şu anda verilerde gösterilmediğini göstermektedir.

    • Bozuk Access Kontrolü

    Bozuk erişim kontrollerinin pratik örnekleri
  • Güvenli erişim kontrolleri ve en iyi uygulamalar

    • Crypto Grafik Hataları

    Zayıf şifreleme algoritmaları veya uygunsuz anahtar yönetimi gibi kriptografik hataların ayrıntılı analizi
  • Güçlü kriptografik mekanizmaların, güvenli protokollerin (SSL/TLS) önemi ve web güvenliğinde modern kriptografinin örnekleri

    • Enjeksiyon Saldırıları

    SQL, NoSQL, OS ve LDAP enjeksiyonunun ayrıntılı dökümü
  • Hazırlanmış ifadeler, parametreli sorgular ve girişleri kaçırma yoluyla azaltma teknikleri

    • Güvenli Olmayan Tasarım

    Uygunsuz giriş doğrulama gibi tasarım kusurlarının güvenlik açıklarına yol açabileceği durumların araştırılması
  • Güvenli mimari ve güvenli tasarım ilkeleri için stratejiler

    • Güvenlik Yanlış Yapılandırması

    Gerçek dünya yanlış yapılandırma örnekleri
  • Yapılandırma yönetimi ve otomasyon araçları dahil olmak üzere yanlış yapılandırmayı önlemek için adımlar

    • İstismar Edilebilir ve Güncel Olmayan Bileşenler

    İstismar edilebilir kitaplıkları ve çerçeveleri kullanmanın risklerinin belirlenmesi
  • Bağımlılık yönetimi ve güncellemeler için en iyi uygulamalar

    • Tanımlama ve Kimlik Doğrulama Hataları

    Yaygın kimlik doğrulama sorunları
  • Çok faktörlü kimlik doğrulama ve uygun oturum yönetimi gibi güvenli kimlik doğrulama stratejileri

    • Yazılım ve Veri Bütünlüğü Hataları

    Güvenilmeyen yazılım güncellemeleri ve veri kurcalaması gibi sorunlara odaklanma
  • Güvenli güncelleme mekanizmaları ve veri bütünlüğü kontrolleri

    • Güvenlik Kaydı ve İzleme Hataları

    Güvenlikle ilgili bilgilerin kaydedilmesinin ve şüpheli etkinlikler için izlenmesinin önemi
  • Erken ihlalleri tespit etmek için uygun kayıt ve gerçek zamanlı izleme için araçlar ve uygulamalar

    • Sunucu Tarafından İstek Sahteciliği (SSRF)

    Saldırganların dahili sistemlere erişmek için SSRF güvenlik açıklarından nasıl yararlandığının açıklaması
  • Uygun giriş doğrulama ve güvenlik duvarı yapılandırmaları dahil olmak üzere azaltma taktikleri

    • En İyi Uygulamalar ve Secure Coding

    Güvenli kodlama için kapsamlı bir tartışma
  • Güvenlik açığı tespiti için araçlar

    • Özet ve Sonraki Adımlar

    Kurs İçin Gerekli Önbilgiler

    • Web geliştirme yaşam döngüsüne ilişkin genel bir anlayış
    • Web uygulaması geliştirme ve güvenliği konusunda deneyim

    Hedef Kitle

    • Web geliştiricileri
    • Liderler
     14 Saat

    Katılımcı Sayısı


    Kişi Başına Fiyat

    Açık Eğitim Kursları 5 ve üzeri katılımcı gerektirir.

    Danışanlarımızın Yorumları (7)

    Hands-on approach and Trainer Knowledge

    RICARDO
    Eğitim - OWASP Top 10

    The knowledge of the trainer was phenomenal

    Patrick - Luminus
    Eğitim - OWASP Top 10

    exercises, even if outside of my comfort zone.

    Nathalie - Luminus
    Eğitim - OWASP Top 10

    The trainer is very informative and really knows the topic

    Blu Aguilar - SGL Manila (Shared Service Center) Inc.
    Eğitim - OWASP Top 10

    The Trainor is really an expert on the topic.

    Reynold - SGL Manila (Shared Service Center) Inc.
    Eğitim - OWASP Top 10

    Practical lab on gaining a shell from an attacked machine

    Catalin
    Eğitim - OWASP Top 10

    The easy style for technical explanations.

    Adriana Moga
    Eğitim - OWASP Top 10

    Yaklaşan Etkinlikler

    OWASP Top 10

    2025-06-30 09:30
    14 Saat
    Antalya
    11610 TRY (Online(internet ortamında canlı eğitim))
    12010 TRY (Fiziki Sınıf)

    OWASP Top 10

    2025-07-14 09:30
    14 Saat
    Istanbul, Taksim
    11610 TRY (Online(internet ortamında canlı eğitim))
    12010 TRY (Fiziki Sınıf)

    OWASP Top 10

    2025-07-28 09:30
    14 Saat
    Ankara
    11610 TRY (Online(internet ortamında canlı eğitim))
    12010 TRY (Fiziki Sınıf)

    İlgili Kurslar

    Web Security Testing - Security and Testing of Web Applications using OWASP

     21 Saat

    Bu eğitmen liderliğindeki, canlı eğitim (çevrimiçi veya yerinde), web uygulamalarını ve hizmetlerini güvence altına almak isteyen geliştiriciler, mühendisler ve mimarlar için tasarlanmıştır.

    Bu eğitimin sonunda katılımcılar, OWASP test çerçevesi ve araçlarını kullanarak web uygulamalarını ve hizmetlerini entegre edebilecek, test edebilecek, koruyabilecek ve analiz edebileceklerdir.

    Daha Fazla...

    OWASP Mobile Security Testing Guide

     21 Saat

    Bu eğitmen liderliğindeki, canlı eğitim (Türkiye çevrimiçi veya yerinde), mobil uygulamalarını ve hizmetlerini güvence altına almak için MSTG test ilkelerini, süreçlerini, tekniklerini ve araçlarını uygulamak isteyen geliştiriciler, mühendisler ve mimarlar için tasarlanmıştır.

    Bu eğitimin sonunda katılımcılar şunları yapabilecektir:

    • Geliştirme yaşam döngüsünde etkili bir güvenlik testi uygulaması stratejisi oluşturmak için test tekniklerini keşfedin.
    • Mobil uygulamalardaki genel güvenlik açıklarını ve riskleri test etmek için test tekniklerini gerçekleştirin.
    • Android ve iOS mobil uygulamalarını güvence altına almak için çeşitli güvenlik testi süreçlerini çalıştırın.
    Daha Fazla...

    OWASP Web Security Testing Guide

     21 Saat

    Bu eğitmen liderliğindeki, canlı eğitim (Türkiye çevrimiçi veya yerinde), web uygulamalarını ve hizmetlerini güvence altına almak için WSTG test çerçevesi, ilkeleri ve tekniklerini uygulamak isteyen geliştiriciler, mühendisler ve mimarlar için tasarlanmıştır.

    Bu eğitimin sonunda katılımcılar şunları yapabilecektir:

    • WSTG'yi web geliştirme yaşam döngüsünde test süreçlerini ve tekniklerini uygulamak için kullanmak.
    • İş gereksinimlerine göre WSTG çerçevesini özelleştirmek için farklı test tekniklerini keşfetmek.
    • Web uygulamalarını risklerden ve saldırılardan korumak için çeşitli güvenlik test yöntemleri gerçekleştirmek.
    • Güvenlik testi bulgularını ve sonuçlarını belgelemek için bir değerlendirme raporu oluşturmak.
    Daha Fazla...

    How to Write Secure Code

     35 Saat

    Bu Türkiye kursu, aşağıdakileri sağlamayı amaçlamaktadır:

    1. Geliştiricilerin Güvenli Kod yazma tekniklerinde ustalaşmalarına yardımcı olmak
    2. Yazılım Testçilerinin, uygulamayı üretim ortamına yayınlamadan önce güvenliğini test etmelerine yardımcı olmak
    3. Yazılım Mimarlarının, uygulamalarla ilgili riskleri anlamalarına yardımcı olmak
    4. Takım Liderlerinin, geliştiriciler için güvenlik temel çizgilerini belirlemesine yardımcı olmak
    5. Web Yöneticilerinin, yanlış yapılandırmaları önlemek için Sunucuları yapılandırmasına yardımcı olmak
    Daha Fazla...

    Secure Developer Java (Inc OWASP)

     21 Saat

    Bu kurs, güvenli kodlama kavramlarını ve ilkelerini Java aracılığıyla Açık Web Application Security Projesi (OWASP) metodolojisiyle test etmeyi kapsamaktadır. Açık Web Application Security Projesi, web uygulaması güvenliği alanında ücretsiz olarak erişilebilen makaleler, metodolojiler, dokümantasyon, araçlar ve teknolojiler oluşturan çevrimiçi bir topluluktur.

    Daha Fazla...

    Secure Developer .NET (Inc OWASP)

     21 Saat

    Bu kurs, ASP.net ile güvenli kodlama kavramlarını ve prensiplerini, Açık Web Application Security Projesi (OWASP) metodolojisi ile test etme yoluyla kapsamaktadır. OWASP, web uygulaması güvenliği alanında ücretsiz olarak erişilebilen makaleler, metodolojiler, dokümantasyon, araçlar ve teknolojiler oluşturan çevrimiçi bir topluluktur.

    Bu Kurs, Dot Net Framework Güvenlik özelliklerini ve web uygulamalarını nasıl güvenli hale getirebileceğinizi araştırmaktadır.

    Daha Fazla...

    İlgili Kategoriler

    OWASP
    OWASP