Çok çeşitli konfigürasyonlara ve servislere sahip olmaları, kullanıcı izinlerinin çeşitliliği, web sunucu uygulamalarının karmaşık yapısı, veri tabanı uygulamalarının kod enjeksiyon saldırılarına potansiyel olarak açık olması ve uygulamaya ait kodların güvenli yazılım geliştirme tekniklerine uygun şekilde yazılmaması gibi sık karşılaşılan sorunlar web uygulamalarının atak yüzeyini genişleten etmenlerdir. Bu zafiyetlerin saptanıp kurumun güvenlik seviyesinin arttırılmasını hedefleyen web penetrasyon testleri; siber saldırılarda karşılaşılan web atak senaryolarının simüle edilerek gelebilecek bir saldırıya karşı sistemin ne kadar güvende olduğu, saldırının nasıl bir etki bırakacağı ve kurumun veri güvenliği politikalarına uyumluluk seviyesi gibi ölçümlerin raporlanmasını kapsar.
Eğitim İçeriği:
Testlerde analizi yapılan saldırılar:
- Siteler Arası Betik Çalıştırma (Cross Site Scripting-XSS)
- SQL enjeksiyon (SQL Injection)
- Kırık Kimlik Doğrulama ve Oturum Yönetimi (Broken Authentication and Session Management)
- Dosya Yükleme Zafiyeti (File Upload Vulnerability)
- Sunucularda Önbellek Zehirleme Zafiyeti (Caching Servers Attacks)
- Güvenlik Yanlış Yapılandırması (Security Misconfigurations)
- Siteler Arası İstek Sahteciliği (Cross Site Request Forgery)
- Parola Kırma (Password Cracking)
WEB Uygulama Güvenliği
- Kullanıcı Girdilerinin Kontrolü
- HTML Çıktı Kodlama-Output Encoding
- Veri Tabanı Güvenliği
- Hareket Halindeki Veriyi Korumak
- Parola güvenliği
- Güvenli Kimlik Doğrulama
- Kullanıcı Oturumlarını Yönetmek
- Yetkilendirme