Uygulamalı Sızma Testi Uzmanlığı Sertifika Programı

Eğitim Başlangıcı: 28 Eylül 2024 - Çevrimiçi (Zoom)

Günler: Cumartesi/Pazar

Saatler: 09:30 – 16:30 (öğle arası 1 saat)

Program Süresi: 84 Saat

Program Peşin Ücreti: 30.000 TL + %10 KDV 

Program Koordinatörü: Prof. Dr. Kemal Bıçakcı

İletişim için

Programın Amacı: 

Bu program katılımcıları, sızma testi (penetrasyon testi) süreçlerini ve tekniklerini anlamaları için temel bilgi ve becerilerle donatmayı amaçlamaktadır. Eğitim boyunca, katılımcılar sızma testinin temel kavramları, metodolojileri ve en iyi uygulamaları hakkında bilgi edineceklerdir. Gerçek dünya senaryoları ve uygulamalı laboratuvar çalışmaları aracılığıyla, bireylerin ve kuruluşların güvenlik açıklarını tespit etmeleri ve bu açıkları etkili bir şekilde gidermeleri sağlanacaktır. Program, siber güvenlik alanında temel bilgiye sahip olan bireyler için tasarlanmıştır ve katılımcıların sızma testi becerilerini geliştirmelerine yardımcı olacaktır.

Katılımcılarda Aranan Nitelikler:

Program kapsamındaki eğitim bilgisayar destekli olarak gerçekleştirilecektir.Katılımcıların şahsi bilgisayarlarını yanında bulundurması gerekmektedir.

Programa siber güvenlik alanına merak duyan, bu konuda temel atmak isteyen çalışanlar veya bu alanda kariyer değişikliği düşüncesinde olan kişiler katılabilir.

Program sonunda katılımcılara sertifika sınavı yapılacaktır. Başarı sağlayan katılımcılar Uzmanlık Sertifikası almaya hak kazanacaktır. Diğer katılımcılar ise Katılım Sertifikası almaya hak kazanacaktır. 

%70 Devam zorunluluğu bulunmaktadır

Program İçeriği:  

1. Sızma Testi Temelleri:

  • Sızma Testi Kavramları ve Terminolojisi: Sızma testi nedir? Ne amaçla yapılır? Temel terimler ve kavramlar.
  • Yasal ve Etik İlkeler: Sızma testi yaparken dikkat edilmesi gereken yasal ve etik kurallar.
  • Sızma Testi Metodolojisi ve Aşamaları: Bilgi toplama, tarama, saldırı ve raporlama aşamaları.

2. Bilgi Toplama ve Analiz:

  • Pasif Bilgi Toplama Teknikleri: Sosyal medya, arama motorları, WHOIS sorgulamaları, DNS sorgulamaları gibi yöntemlerle hedef hakkında bilgi toplama.
  • Aktif Bilgi Toplama Teknikleri: Ağ taramaları, port taramaları ve zafiyet taramaları kullanarak daha detaylı bilgi edinme.
  • Açık Kaynak İstihbarat (OSINT) Kullanımı: Açık kaynaklardan toplanan bilgilerin analiz edilmesi.

3. Zafiyet Taraması:

  • Güvenlik Açığı Tarama Araçları ve Teknikleri: Nmap, Nessus, OpenVAS gibi araçlarla güvenlik açıklarını tespit etme.
  • Zafiyet Analiz Yöntemleri: Tespit edilen güvenlik açıklarının analiz edilmesi ve önceliklendirilmesi.
  • Raporlama ve Bulguların Değerlendirilmesi: Güvenlik açıkları raporlarının hazırlanması ve değerlendirilmesi.

4. Ağ ve Sistem Saldırıları:

  • Ağ Trafiği Analizi ve Saldırı Vektörleri: Wireshark ve diğer araçlarla ağ trafiğinin analiz edilmesi.
  • Sistem Zafiyetlerinin Keşfi ve İstismarı: Metasploit ve diğer istismar (exploit) araçları ile sistem açıklarının kullanılması.
  • İleri Seviye Saldırı Teknikleri: SQL enjeksiyon, XSS (Cross-Site Scripting), RFI (Remote File Inclusion), LFI (Local File Inclusion) gibi yaygın saldırı teknikleri.

5. Web Uygulamalarına Yönelik Saldırı Yöntemleri: Katılımcılara web uygulamalarındaki güvenlik açıklarını tespit etme ve bu açıkları istismar etme tekniklerini öğretmeyi amaçlar.

  • SQL Injection
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • Command Injection
  • File Inclusion Vulnerabilities (LFI/RFI)
  • Kimlik Doğrulama ve Oturum Yönetimi Açıkları

6. Bulut ve Sanal Sistemlere Yönelik Saldırı Yöntemleri: Katılımcılara bulut sistemleri ve sanal sistemler üzerindeki güvenlik açıklarını tespit etme ve bu açıkları istismar etme tekniklerini öğretmeyi amaçlar

  • Bulut Bilişim ve Sanallaştırma: Hipervizörlerin güvenliği ve yaygın saldırı teknikleri
  • Sanal Makine İzolasyonu: Sanal makineler arasındaki izolasyonun sağlanması ve güvenliği.

7. Ayrıcalık Yükseltme ve Yetki Artırma:

  • Windows ve Linux Sistemlerinde Ayrıcalık Yükseltme: Sistemlerde daha yüksek yetkiler elde etmek için kullanılabilecek teknikler.
  • Hizmet ve Süreçlerin Kötüye Kullanılması: Hizmet ve süreçlerdeki zafiyetlerin kullanılması.
  • Zafiyetlerden Yararlanma Yöntemleri: Hedef sistemdeki açıkları kullanarak yetki artırma yöntemleri.

8. Active Directory Saldırı Yöntemleri: En yaygın saldırı yöntemleri kullanılarak etki alanlarındaki kullanıcılara ve nesnelerin ele geçirilme yöntemleri.

  • Kerberoasting
  • Pass-the-Hash (PtH)
  • LDAP Enumeration

9. Antivirüs Atlama Teknikleri: Sızma testi uzmanlarının ve etik hackerların, kötü niyetli aktörlerin kullanabileceği yöntemleri anlamalarına ve sistem güvenliğini daha etkin bir şekilde değerlendirmelerine olanak tanır.

  • Obfuscation (Karıştırma)
  • Encryption (Şifreleme)
  • Packing (Paketleme)
  • Code Injection (Kod Enjeksiyonu)
  • Living Off the Land (LotL)

10. Post-Exploit ve Kalıcılık:

  • Elde Edilen Erişimlerin Sürdürülmesi: Sistemlerde kalıcı erişim sağlamak için kullanılabilecek yöntemler.
  • Arka Kapılar ve Kalıcılık Teknikleri: Backdoor (arka kapı) yerleştirme ve diğer kalıcılık yöntemleri.
  • Sistemlerin Yeniden Yapılandırılması ve İzlerin Silinmesi: İz bırakmadan sızma testi yapma teknikleri.

11. Raporlama ve Sonuçların Değerlendirilmesi:

  • Etkili Teknik Rapor Yazımı: Sızma testi sonuçlarının yazılı raporlanması.
  • Bulguların Sunumu ve Güvenlik Önerileri: Tespit edilen güvenlik açıklarının sunulması ve güvenlik iyileştirme önerileri.
  • Müşteri İletişimi ve Rapor Paylaşımı: Müşteri ile etkili iletişim ve raporların paylaşımı.

12. Gerçek Dünya Senaryoları, Laboratuvar Erişimi, Pratik Yapma, Sınava Hazırlık: Eğitim süresince VPN ile erişim sağlayıp çalışma yapabileceğiniz bir laboratuvar ortamında sınava hazırlık.


Programın Öğretim Elemanları, Verecekleri dersler ile Süreleri*

Prof. Dr. Kemal Bıçakcı

Öğr. Gör. Anıl Suat Terliksiz

Öğr. Gör. Murat Demirci

Öğr. Gör. Engin Baysal

Öğr. Gör. Murat Sekmen

* Sürelere 1 saatlik öğle arası dahil değildir.

 

Sızma Testi