OWASP Top 10 Eğitimi Yeni Dönem

Web uygulamaları, modern dünyada iş süreçlerinin merkezinde yer almakta ve saldırganlar için en cazip hedeflerden biri haline gelmektedir. Açık Web Uygulamaları Güvenlik Projesi (OWASP), yazılım güvenliği alanında en çok kabul gören çerçevelerden biridir ve “OWASP Top 10” listesi, web uygulamalarındaki en kritik güvenlik açıklarını uluslararası ölçekte ortaya koymaktadır.
Bu eğitimde, HTTP protokolünün temellerinden başlayarak OWASP’ın amacı ve rolü ele alınacak, ardından OWASP Top 10’un her bir başlığı detaylı olarak incelenecektir. Katılımcılar, hem teorik bilgi hem de uygulamalı laboratuvar çalışmalarıyla, güvenlik açıklarının nasıl keşfedileceğini ve nasıl engelleneceğini öğrenecektir.
Eğitim, yazılım geliştiriciler, güvenlik uzmanları ve sistem yöneticileri için web uygulama güvenliği konusunda güçlü bir temel oluşturmayı hedefler.

• HTTP protokolünün temelleri
• İstek (request) ve yanıt (response) yapısı
• HTTP yöntemleri (GET, POST, PUT, DELETE vb.)
• HTTP durum kodları ve anlamları
• HTTPS, SSL/TLS ve güvenli iletişim

• OWASP organizasyonunun amacı
• Güvenli yazılım geliştirme için OWASP kaynakları
• OWASP Top 10’un tarihi ve gelişimi
• OWASP projeleri (Cheat Sheets, ZAP, ASVS vb.)

• OWASP Top 10’un yazılım güvenliğindeki yeri
• 2021 sürümündeki değişiklikler
• Risk önceliklendirme mantığı
• Uygulamalı güvenlik testlerine giriş

• Yetki yükseltme ve yatay/dikey erişim ihlalleri
• Güvenli erişim kontrol mekanizmaları
• Hatalı yetkilendirme senaryoları
• Uygulamalı test: IDOR (Insecure Direct Object Reference)

• Şifreleme temelleri (AES, RSA, Hashing)
• Yanlış şifreleme algoritmalarının kullanımı
• Hassas verilerin şifrelenmeden saklanması
• Uygulamalı test: Zayıf SSL/TLS yapılandırmaları

• SQL Injection, Command Injection, LDAP Injection
• Prepared statement ve parametreli sorgular
• Giriş doğrulama ve beyaz liste yaklaşımı
• Uygulamalı test: SQLi saldırısı ve çözümü

• Güvenlik tasarımı eksiklikleri
• Tehdit modelleme (Threat Modeling)
• Güvenli mimari prensipleri
• Vaka analizi: Zayıf iş mantığı kontrolleri

• Varsayılan şifreler ve yanlış yapılandırmalar
• Yanlış HTTP başlıkları ve hata mesajları
• Güvenli konfigürasyon için en iyi pratikler
• Uygulamalı test: Zayıf sunucu konfigürasyonu

• Açık kaynak kütüphanelerde zafiyetler
• Bağımlılık yönetimi (Dependency Management)
• Yazılım güncelleme süreçleri
• Uygulamalı test: Zafiyet tarama araçları ile tespit

• Zayıf parola politikaları
• Kimlik doğrulama bypass teknikleri
• Çok faktörlü kimlik doğrulama (MFA)
• Uygulamalı test: Brute-force saldırısı

• Kod bütünlüğü ve dijital imzalar
• Tedarik zinciri saldırıları
• Güvenli yazılım dağıtım süreçleri
• Uygulamalı test: Paket bütünlüğü kontrolü

• Loglama stratejileri
• İzleme ve uyarı mekanizmaları
• SIEM çözümleri ile entegrasyon
• Vaka çalışması: Tespit edilemeyen saldırılar

• SSRF saldırı vektörleri
• Dahili servislerin istismarı
• SSRF’i önleme yöntemleri
• Uygulamalı test: SSRF saldırı senaryosu