Uygulamalı Sızma Testi Uzmanlığı Sertifika Programı
Eğitim Başlangıcı: 28 Eylül 2024 - Çevrimiçi (Zoom)
Günler: Cumartesi/Pazar
Saatler: 09:30 – 16:30 (öğle arası 1 saat)
Program Süresi: 84 Saat
Program Peşin Ücreti: 30.000 TL + %10 KDV
Program Koordinatörü: Prof. Dr. Kemal Bıçakcı
İletişim için
Programın Amacı:
Bu program katılımcıları, sızma testi (penetrasyon testi) süreçlerini ve tekniklerini anlamaları için temel bilgi ve becerilerle donatmayı amaçlamaktadır. Eğitim boyunca, katılımcılar sızma testinin temel kavramları, metodolojileri ve en iyi uygulamaları hakkında bilgi edineceklerdir. Gerçek dünya senaryoları ve uygulamalı laboratuvar çalışmaları aracılığıyla, bireylerin ve kuruluşların güvenlik açıklarını tespit etmeleri ve bu açıkları etkili bir şekilde gidermeleri sağlanacaktır. Program, siber güvenlik alanında temel bilgiye sahip olan bireyler için tasarlanmıştır ve katılımcıların sızma testi becerilerini geliştirmelerine yardımcı olacaktır.
Katılımcılarda Aranan Nitelikler:
Program kapsamındaki eğitim bilgisayar destekli olarak gerçekleştirilecektir.Katılımcıların şahsi bilgisayarlarını yanında bulundurması gerekmektedir.
Programa siber güvenlik alanına merak duyan, bu konuda temel atmak isteyen çalışanlar veya bu alanda kariyer değişikliği düşüncesinde olan kişiler katılabilir.
Program sonunda katılımcılara sertifika sınavı yapılacaktır. Başarı sağlayan katılımcılar Uzmanlık Sertifikası almaya hak kazanacaktır. Diğer katılımcılar ise Katılım Sertifikası almaya hak kazanacaktır.
%70 Devam zorunluluğu bulunmaktadır
Program İçeriği:
1. Sızma Testi Temelleri:
- Sızma Testi Kavramları ve Terminolojisi: Sızma testi nedir? Ne amaçla
yapılır? Temel terimler ve kavramlar.
- Yasal ve Etik İlkeler: Sızma testi yaparken dikkat edilmesi gereken yasal
ve etik kurallar.
- Sızma Testi Metodolojisi ve Aşamaları: Bilgi toplama, tarama, saldırı ve
raporlama aşamaları.
2. Bilgi Toplama ve Analiz:
- Pasif Bilgi Toplama Teknikleri: Sosyal medya, arama motorları, WHOIS
sorgulamaları, DNS sorgulamaları gibi yöntemlerle hedef hakkında bilgi
toplama.
- Aktif Bilgi Toplama Teknikleri: Ağ taramaları, port taramaları ve zafiyet
taramaları kullanarak daha detaylı bilgi edinme.
- Açık Kaynak İstihbarat (OSINT) Kullanımı: Açık kaynaklardan toplanan
bilgilerin analiz edilmesi.
3. Zafiyet Taraması:
- Güvenlik Açığı Tarama Araçları ve Teknikleri: Nmap, Nessus,
OpenVAS gibi araçlarla güvenlik açıklarını tespit etme.
- Zafiyet Analiz Yöntemleri: Tespit edilen güvenlik açıklarının analiz
edilmesi ve önceliklendirilmesi.
- Raporlama ve Bulguların Değerlendirilmesi: Güvenlik açıkları
raporlarının hazırlanması ve değerlendirilmesi.
4. Ağ ve Sistem Saldırıları:
- Ağ Trafiği Analizi ve Saldırı Vektörleri: Wireshark ve diğer araçlarla ağ
trafiğinin analiz edilmesi.
- Sistem Zafiyetlerinin Keşfi ve İstismarı: Metasploit ve diğer istismar
(exploit) araçları ile sistem açıklarının kullanılması.
- İleri Seviye Saldırı Teknikleri: SQL enjeksiyon, XSS (Cross-Site
Scripting), RFI (Remote File Inclusion), LFI (Local File Inclusion) gibi
yaygın saldırı teknikleri.
5. Web Uygulamalarına Yönelik Saldırı Yöntemleri: Katılımcılara web
uygulamalarındaki güvenlik açıklarını tespit etme ve bu açıkları istismar etme
tekniklerini öğretmeyi amaçlar.
- SQL Injection
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Command Injection
- File Inclusion Vulnerabilities (LFI/RFI)
- Kimlik Doğrulama ve Oturum Yönetimi Açıkları
6. Bulut ve Sanal Sistemlere Yönelik Saldırı Yöntemleri: Katılımcılara bulut
sistemleri ve sanal sistemler üzerindeki güvenlik açıklarını tespit etme ve bu açıkları
istismar etme tekniklerini öğretmeyi amaçlar
- Bulut Bilişim ve Sanallaştırma: Hipervizörlerin güvenliği ve yaygın saldırı
teknikleri
- Sanal Makine İzolasyonu: Sanal makineler arasındaki izolasyonun
sağlanması ve güvenliği.
7. Ayrıcalık Yükseltme ve Yetki Artırma:
- Windows ve Linux Sistemlerinde Ayrıcalık Yükseltme: Sistemlerde daha
yüksek yetkiler elde etmek için kullanılabilecek teknikler.
- Hizmet ve Süreçlerin Kötüye Kullanılması: Hizmet ve süreçlerdeki
zafiyetlerin kullanılması.
- Zafiyetlerden Yararlanma Yöntemleri: Hedef sistemdeki açıkları
kullanarak yetki artırma yöntemleri.
8. Active Directory Saldırı Yöntemleri: En yaygın saldırı yöntemleri kullanılarak
etki alanlarındaki kullanıcılara ve nesnelerin ele geçirilme yöntemleri.
- Kerberoasting
- Pass-the-Hash (PtH)
- LDAP Enumeration
9. Antivirüs Atlama Teknikleri: Sızma testi uzmanlarının ve etik hackerların, kötü
niyetli aktörlerin kullanabileceği yöntemleri anlamalarına ve sistem güvenliğini
daha etkin bir şekilde değerlendirmelerine olanak tanır.
- Obfuscation (Karıştırma)
- Encryption (Şifreleme)
- Packing (Paketleme)
- Code Injection (Kod Enjeksiyonu)
- Living Off the Land (LotL)
10. Post-Exploit ve Kalıcılık:
- Elde Edilen Erişimlerin Sürdürülmesi: Sistemlerde kalıcı erişim sağlamak
için kullanılabilecek yöntemler.
- Arka Kapılar ve Kalıcılık Teknikleri: Backdoor (arka kapı) yerleştirme ve
diğer kalıcılık yöntemleri.
- Sistemlerin Yeniden Yapılandırılması ve İzlerin Silinmesi: İz
bırakmadan sızma testi yapma teknikleri.
11. Raporlama ve Sonuçların Değerlendirilmesi:
- Etkili Teknik Rapor Yazımı: Sızma testi sonuçlarının yazılı raporlanması.
- Bulguların Sunumu ve Güvenlik Önerileri: Tespit edilen güvenlik
açıklarının sunulması ve güvenlik iyileştirme önerileri.
- Müşteri İletişimi ve Rapor Paylaşımı: Müşteri ile etkili iletişim ve
raporların paylaşımı.
12. Gerçek Dünya Senaryoları, Laboratuvar Erişimi, Pratik Yapma, Sınava
Hazırlık: Eğitim süresince VPN ile erişim sağlayıp çalışma yapabileceğiniz bir
laboratuvar ortamında sınava hazırlık.
Programın Öğretim Elemanları, Verecekleri dersler ile Süreleri*
Prof. Dr. Kemal Bıçakcı
Öğr. Gör. Anıl Suat Terliksiz
Öğr. Gör. Murat Demirci
Öğr. Gör. Engin Baysal
Öğr. Gör. Murat Sekmen
* Sürelere 1 saatlik öğle arası dahil değildir.