Web Hacking Black Belt Edition Eğitimi

  • Eğitim Tipi: Classroom / Virtual Classroom / Online
  • Süre: 5 Gün
  • Seviye: Expert

Bu eğitim, katılımcılarına modern web uygulamalarını, API'leri ve ilişkili uç noktaları tehlikeye atmak için çok sayıda hackleme tekniği öğretiyor. "Web Hacking Black Belt Edition", uygulama güvenliğinin belirli alanlarına ve gelişmiş güvenlik açığı tanımlama ve istismar tekniklerine odaklanıyor. Eğitim, katılımcıların gerçek hayattaki ürünleri etkileyen ve gerçek hata ödül programlarında bahsi geçen bazı şık, yeni ve saçma hacklemeleri öğrenmelerine ve uygulamalarına olanak tanıyor. "Web Hacking Black Belt Edition" eğitimi için seçilen güvenlik açıkları genellikle modern tarayıcılar tarafından tespit edilemiyor veya istismar teknikleri çok iyi bilinmiyor.

Katılımcılar ayrıca eğitim sırasında son teknoloji bir Hacklab'dan da yararlanacaklar.

Eğitimin öne çıkan noktaları arasında şunlar yer alıyor:

  • Modern JWT, SAML, OAuth hataları
  • Temel iş mantığı sorunları
  • Pratik kriptografik kusurlar.
  • Serileştirme, Nesne, OGNL ve şablon enjeksiyonu yoluyla RCE.
  • DNS kanalları üzerinden istismar
  • Gelişmiş SSRF, HPP, XXE ve SQLi konuları. Sunucusuz istismarlar
  • Web Önbelleğe Alma sorunları
  • Saldırı zincirlemesi ve gerçek yaşam örnekleri.
Daha fazla +
Bu eğitimi kendi kurumunuzda planlayabilirsiniz.

Kimler Katılmalı

"Web Hacking Black Belt Edition" Eğitim Hedef Kitlesi

  • Web geliştiricileri
  • Orta seviye penetrasyon test uzmanları
  • DevOps mühendisleri, ağ mühendisleri
  • Güvenlik araştırmacıları/analistleri
  • Güvenlik mimarları
  • Güvenlik profesyonelleri ve meraklıları
  • Becerilerini bir üst seviyeye taşımak isteyen herkes
Daha fazla +

Neler Öğreneceksiniz

Çevrenizi güçlendirin, tehlikeye girme riskini azaltın ve geliştiricilerin web tabanlı güvenlik açıklarını tespit edip test edip yönlendirmesini sağlayan bir ekip kurarak kuruluşunuzu saldırganlar için daha az çekici bir hedef haline getirin.

Eğitim katılımcıları şunları yapabilir:

  • Tarayıcılar ve diğer otomatik araçlar tarafından gözden kaçan karmaşık web güvenlik açıklarını tespit etmek ve güvenli bir şekilde istismar etmek için güvenlik testleri gerçekleştirin; bu, güvenlik açıklarını tespit etmenize ve buna göre yama önermenize yardımcı olabilir
  • Bu testleri gerçek dünya saldırgan davranışları ve araçları etrafında tasarlayın ve kuruluşunuzun karşı karşıya olduğu tehditlerle alakalı hale getirin
  • Daha gelişmiş testlere yol açan özelleştirilmiş (hazır olmaktan ziyade) yükler üretmek için saldırgan araçları özelleştirin
  • Güvenlik açıklarının ortaya çıkmasına yol açabilecek koşulları atlatmak için önlemler önerin
  • Web güvenlik açıklarının işletme üzerindeki etkisini anlayın ve bunu önemli paydaşlara açıklayın
  • Ekipte daha fazla sorumluluk alın ve daha geniş işletmede güvenliğin savunucusu olun
Daha fazla +

Outline

Web hackleme dünyasındaki en son hack'ler. Eğitim içeriği, bazı temiz, yeni ve saçma saldırılara odaklanmak için dikkatlice seçildi. Bu eğitim için özel bir kali görüntüsü sağlıyoruz. Özel kali görüntüsü, bir dizi eklenti ve araçla (bazıları herkese açık ve bazıları NotSoPublic) yüklendi ve bunlar, eğitim sırasında tartışılan güvenlik açıklarını hızla belirlemeye ve kullanmaya yardımcı oluyor.

Eğitim, gerçek bir kalem testçisi tarafından veriliyor ve eğitim sırasında paylaşılan gerçek dünya hikayeleri, katılımcıların olayları perspektife oturtmasına yardımcı oluyor. Eğitim sırasında bir hack laboratuvarına erişim ve çok sayıda betik ve araç, öğrenci notlarıyla birlikte eğitim sırasında sağlanacaktır. Eğitimlerimiz ayrıca ayrıntılı cevap kağıtlarıyla birlikte gelir. Bu, eğitimdeki her egzersizin nasıl çözülmesi gerektiğine dair adım adım bir incelemedir. Bu cevap kağıtları ayrıca dersin sonunda katılımcılara verilir.

Laboratuvar Kurulumu ve mimari genel bakış

Burp Özelliklerine Giriş

Kimlik Doğrulama ve SSO'ya Saldırma

  • Jeton Kaçırma saldırıları
  • Mantıksal Baypas / Sınır Koşulları
  • 2 Faktörlü Kimlik Doğrulamayı Baypas Etme
  • Alt Alan Devralma Kullanarak Kimlik Doğrulama Baypas Etme
  • JWT/JWS Jeton saldırıları
  • SAML Yetkilendirme Baypas Etme
  • OAuth Sorunları

Parola Sıfırlama Saldırıları

  • Oturum Zehirlenmesi
  • Ana Bilgisayar Başlığı Doğrulama Baypas Etme
  • Popüler parola sıfırlama başarısızlıklarının vaka çalışması

İş Mantığı Kusurları / Yetkilendirme kusurları

  • Toplu Atama
  • Davet/Promosyon Kodu Baypas Etme
  • Tekrarlama Saldırısı
  • API Yetkilendirme Baypas Etme
  • HTTP Parametre Kirliliği (HPP)

XML Harici Varlık (XXE) Saldırısı

  • XXE Temelleri
  • OOB kanalları üzerinden Gelişmiş XXE İstismarı
  • SAML üzerinden XXE
  • Dosya Ayrıştırmada XXE

Kripto Kırma

  • Bilinen Düz Metin Saldırısı (Hatalı Parola Sıfırlama)
  • Doldurma Oracle Saldırısı
  • Karma uzunluk uzatma saldırıları
  • .NET Makine Anahtarı kullanılarak kimlik doğrulama baypas etme
  • İstismar Etme sabit IV'lerle oracle'ları doldurmak

Uzaktan Kod Yürütme (RCE)

  • Java Serileştirme Saldırısı
  • .Net Serileştirme Saldırısı
  • PHP Serileştirme Saldırısı
  • Python serileştirme saldırısı
  • Sunucu Tarafı Şablon Enjeksiyonu
  • OOB kanalı üzerinden kod enjeksiyonundan yararlanma

SQL Enjeksiyon Usta Sınıfı

  • 2. derece enjeksiyon
  • Bant Dışı istismar
  • SQLi kripto aracılığıyla
  • OS kod yürütme PowerShell aracılığıyla
  • SQli'de Gelişmiş Konular
  • Gelişmiş SQLMap Kullanımı ve WAF atlama
  • GraphQL Pentesting

Zorlu Dosya Yükleme

  • Kötü Amaçlı Dosya Uzantıları
  • Dosya doğrulama kontrollerini atlatma
  • Güçlendirilmiş web sunucularından yararlanma
  • Dosya Meta Verileri aracılığıyla SQL enjeksiyonu

Sunucu Tarafı İstek Sahteciliği (SSRF)

  • SSRF dahili ağı sorgulamak için
  • SSRF şablonları ve uzantıları istismar etmek için
  • SSRF filtre atlama teknikleri
  • Çeşitli Vaka Çalışmaları

Buluta Saldırmak

  • SSRF İstismarı
  • Sunucusuz istismar
  • Google Bulut Çağında Dorking
  • Cognito yanlış yapılandırmadan veri sızdırmaya
  • Bulut tabanlı uygulamalarda Post Exploitation teknikleri
  • Çeşitli Vaka Çalışmaları

Güçlendirilmiş CMS'ye Saldırma

  • Çeşitli CMS'leri belirleme ve saldırma
  • Güçlendirilmiş Wordpress, Joomla ve Sharepoint'e Saldırma

Web Önbelleğe Alma Saldırıları

Çeşitli Güvenlik Açıkları

  • Unicode Normalizasyon saldırıları
  • İkinci derece IDOR saldırısı
  • Yanlış yapılandırılmış kod kontrol sistemlerini kullanma
  • HTTP Desync saldırısı

Saldırı Zincirleme N kademe zaafiyet Zincirleme RCE'ye yol açıyor

Çeşitli Vaka Çalışmaları

  • Garip ve harika XSS ve CSRF saldırılarının bir koleksiyonu

B33r-101

Daha fazla +


Eğitimlerle ilgili bilgi almak ve diğer tüm sorularınız için bize ulaşın!

Eğitim Tarihleri

Sınıf eğitimlerimizi İstanbul, Ankara ve Londra ofislerimizde düzenlemekteyiz. Kurumunuza özel eğitimleri ise, dilediğiniz tarih ve lokasyonda organize edebiliriz.

18 Nisan 2025 (5 Gün)
İstanbul, Ankara, Londra
Classroom / Virtual Classroom
23 Mayıs 2025 (5 Gün)
İstanbul, Ankara, Londra
Classroom / Virtual Classroom
18 Haziran 2025 (5 Gün)
İstanbul, Ankara, Londra
Classroom / Virtual Classroom
23 Haziran 2025 (5 Gün)
İstanbul, Ankara, Londra
Classroom / Virtual Classroom
15 Temmuz 2025 (5 Gün)
İstanbul, Ankara, Londra
Classroom / Virtual Classroom
18 Temmuz 2025 (5 Gün)
İstanbul, Ankara, Londra
Classroom / Virtual Classroom
26 Temmuz 2025 (5 Gün)
İstanbul, Ankara, Londra
Classroom / Virtual Classroom
20 Eylül 2025 (5 Gün)
İstanbul, Ankara, Londra
Classroom / Virtual Classroom

İlgili Eğitimler

Sitemizi kullanarak çerezlere (cookie) izin vermektesiniz. Detaylı bilgi için Çerez Politika'mızı inceleyebilirsiniz.