| Dersin Adı | Dersin Kodu | Dersin Türü | Dersin Düzeyi | Dersin Yılı | Dersin Verildiği Dönem | AKTS Kredisi |
|---|---|---|---|---|---|---|
| Web Uygulama Güvenliği | TBL462 | Seçmeli | Lisans | 4 | Güz | 5 |
Öğretim Elemanı Adı
Doç. Dr. Serdar SOLAK
Dr. Öğr. Üyesi Önder YAKUT
Öğr. Gör. Uğur YILDIZ
Dersin Öğrenme Kazanımları
1) Web uygulamalarının ortak risklerini ve güvenlik açıklarını tanır.
2) Zafiyetlerden kaçınma stratejilerini ve tekniklerini tanır.
3) Güncel web uygulama teknolojilerini güvenli bir şekilde kullanır.
4) Güvenlik özelliklerini web uygulamalarına entegre edebilir.
5) Web uygulamalarının güvenlik denetlemelerini yapabilir, sonuçları analiz edebilir ve yorumlayabilir.
6) Web uygulama güvenliği için gerekli teknikleri ve araçları kullanabilir.
Program Yeterliliği İlişkisi
| Program Yeterlilikleri | ||||||||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | ||
| Öğrenme Kazanımları | ||||||||||||
| 1 | Düşük | |||||||||||
| 2 | Orta | |||||||||||
| 3 | Yüksek | |||||||||||
| 4 | Orta | Düşük | Düşük | |||||||||
| 5 | Orta | Yüksek | Yüksek | |||||||||
| 6 | Orta | |||||||||||
Eğitim Şekli
Yüz Yüze
Ön Koşullar, Diğer Koşullar
Yok
Önerilen Destekleyici Dersler
İstenmemekte
Dersin İçeriği
Web uygulama güvenliğine giriş: savunma mekanizmaları, web uygulama teknolojileri. uygulama haritasını çıkarma ve istemci tarafı kontrolleri atlama. Kimlik doğrulama saldırıları. Oturum yönetimi ve erişim denetimi. Veritabanı saldırıları enjeksiyonu. Arka uç bileşen saldırıları. Uygulama mantığına yapılan saldırılar. Kullanıcı saldırıları. Özelleştirilmiş saldırıları otomatikleştirmek ve veri sızdırma saldırıları. Uygulama mimarisine ve uygulama sunucusuna yapılan saldırılar. Web uygulama güvenlik test araçları: sanal laboratuvar ve araç seti kurma
Haftalık Ders İzlencesi
1) Web uygulama güvenliğine giriş: web uygulama güvenliği ve güvensizliği, temel savunma mekanizmaları, güncel web uygulama teknolojileri2) Kimlik doğrulama saldırıları ve korunma yolları
3) Oturum yönetimi ve erişim denetimi saldırıları
4) Veritabanı saldırıları ve korunma yolları: SQL, NoSQL, XPATH ve LDAP enjeksiyonu
5) Arka uç bileşen saldırıları ve korunma yolları: OS komut, XML, HTTP ve SMTP enjeksiyonu
6) Uygulama mantığına yapılan saldırılar ve korunma yolları
7) Kullanıcılara yapılan saldırılar: Siteler arası komut dosyası oluşturma ve diğer teknikler
8) Ara sınav
9) Bilgi sızdırma saldırıları ve korunma yolları
10) Uygulama mimarisine yapılan saldırılar ve korunma yolları
11) Uygulama sunucuna yapılan saldırılar
12) Web uygulamalarında form girdilerinin validasyonu
13) Web uygulama güvenlik test araçları: sanal laboratuvar ve araç seti kurma
14) Web uygulaması güvenlik değerlendirmesi ve raporlaması
15) Özel saldırıların otomatikleştirilmesi
16) Final Sınavı
Önerilen/İstenen Ders Kaynakları
1- Stuttard, D., & Pinto, M. (2016). The web application hacker's handbook: discovering and exploiting security flaws, second edition. John Wiley & Sons.
2- Scambray, J., Shema, M., & Sima, C. (2010). Hacking exposed: web applications, third edition. San Francisco: McGraw-Hill.
3- Zalewski, M. (2012). The Tangled Web: A Guide to Securing Modern Web Applications. No Starch Press.
Planlanan Öğrenim Faaliyetleri Ve Eğitim Yöntemi
1) Anlatım
2) Soru-Cevap
3) Tartışma
4) Alıştırma ve Uygulama
5) Model Yapma
6) Benzetim
7) Örnek Olay
8) Laboratuvar/Çalıştay
9) Bireysel Çalışma
10) Problem Çözme
11) Proje Temelli Öğrenme
Değerlendirme Yöntemi ve Ölçütleri
Proje Notunun Başarıya Oranı |
60% |
|---|---|
Yarıyıl Sonu Sınavının Başarıya Oranı |
40% |
Toplam |
100% |
Dersin Eğitim Dili
Türkçe
Mesleki Uygulama
İstenmemekte