KURUMSAL EĞİTİM, SIFIRDAN ZİRVEYE OWAPS TOP 10
Saldırı yüzeyini mimari seviyede daraltarak yazılımın yaşam döngüsünü mühürleyin. Güncel OWASP standartlarıyla BOLA, SSRF, Tedarik Zinciri ve yepyeni Yapay Zeka (LLM Prompt Injection) tehditlerine karşı dikişsiz savunma hatları inşa edin.
Eğitim Tanıtım Videosu
Broken Access Control, SSRF ve OWASP for LLM gibi modern AppSec dünyasının en güncel tehditlerine nasıl karşı koyacağınızı videomuzda izleyin.
Shift-Left Güvenlik
Uygulamanızı henüz tasarım aşamasındayken (STRIDE metodolojisi ile) tehditlere karşı modelleyin; güvenliği geliştirme sürecine başından itibaren entegre edin.
EĞİTİM SÜRESİ, FORMATLARI VE KURUM ODAKLI YAKLAŞIM
Eğitim programlarımız, kurumunuzun hedefleri, ekip olgunluğu ve proje ihtiyaçlarına göre farklı yoğunluk seviyelerinde esnek olarak tasarlanmaktadır. Aşağıdaki formatlardan ihtiyacınıza en uygun olanı seçebilir veya tamamen özelleştirilmiş bir program talep edebilirsiniz.
- 1 Gün: Stratejik Farkındalık Semineri
- 5 Gün: Standart Teknik Eğitim Programı
- 10 Gün: Yoğun Uygulamalı (Hands-on) Eğitim
- 15-20 Gün: İleri Seviye Workshop & Proje Geliştirme Programı
- Ders Süresi: 50 dakika
- Eğitim Saatleri: 10:00 - 17:00 (İhtiyaca göre özelleştirilebilir)
Eğitimler, öğrenme verimliliğini artıracak şekilde yapılandırılmıştır. Her oturum 50 dakika eğitim + 10 dakika mola şeklinde planlanır. Gün içerisinde 12:00 - 13:00 saatleri arasında öğle arası verilir. Bu yapı ile katılımcılar, günlük ortalama 6 saat odaklı eğitim alır. Örneğin 5 günlük bir program toplamda 30 saatlik yoğun bir öğrenme deneyimi sunar.
- 1 Günlük Seminer:
Karar vericiler ve teknik ekipler için tasarlanmış bu formatta, ilgili teknolojinin temel prensipleri, sektörel etkileri ve kuruma sağlayacağı stratejik katkılar ele alınır. Amaç; farkındalık oluşturmak ve doğru yatırım kararlarını desteklemektir.- 5 Günlük Standart Program:
Konular sistematik bir şekilde ele alınır, teorik altyapı güçlü şekilde oluşturulur ve gerçek dünya senaryoları ile desteklenir. Katılımcılar; mimari yaklaşımlar, araçlar, kod yapıları ve uygulama örnekleri ile kapsamlı bir bilgi seviyesine ulaşır.- 10 Günlük Yoğun Hands-on Program:
Uygulama odaklı bu programda katılımcılar aktif olarak kod yazar, sistem kurar ve senaryolar geliştirir. Gerçek projelere yakın simülasyonlar ile öğrenme pekiştirilir. Özellikle yeni ekip kuran veya mevcut ekibini hızla yetkinleştirmek isteyen kurumlar için idealdir.- 15-20 Günlük İleri Seviye Workshop:
Katılımcılar yalnızca öğrenmez, aynı zamanda üretir. Eğitmen rehberliğinde gerçek bir sistem veya mimari geliştirilir. Ödevler, teknik değerlendirmeler ve yoğun workshop’lar ile ekiplerin ilgili teknolojiye tam hakimiyeti sağlanır. Özellikle organizasyon içinde yeni bir teknoloji dönüşümü planlayan kurumlar için önerilir.
Eğitimlerimiz uzaktan, müşteri lokasyonunda veya hibrit formatta gerçekleştirilebilir. Katılımcılar online platformlar (Microsoft Teams veya Zoom) üzerinden erişim sağlayabilir; eğitim süresince ekran paylaşımı, canlı kodlama, interaktif soru-cevap ve iş birliği araçları aktif olarak kullanılır.
Kurum ve Katılımcı Odaklı Eğitim Yaklaşımı
Her eğitim programı, standart bir içerik sunumu değil; doğrudan kurumun hedeflerine, ekip yapısına ve mevcut olgunluk seviyesine göre tasarlanan özelleştirilmiş bir öğrenme deneyimidir. Bu yaklaşım, eğitimin yalnızca bilgi aktarımı değil, ölçülebilir çıktı üretmesi amacıyla kurgulanır.
Katılımcı Profiline Göre İçerik Kurgulama
-
Yeni işe alınmış ekipler:
- Amaç: Projelere hızlı adaptasyon
- İçerik: Temel kavramlar + kurum teknolojilerine hızlı geçiş
- Odak: Hands-on uygulamalar ve gerçek proje senaryoları
-
Teknik ekipler (Developer / Senior Developer):
- Amaç: Teknik derinlik ve üretkenlik artışı
- İçerik: Best practice, kod kalitesi, performans
- Odak: Uygulamalı geliştirme ve refactoring
-
Teknik mimar ekipler:
- Amaç: Doğru mimari ile teknoloji konumlandırma
- İçerik: Sistem tasarımı, scalability, distributed architecture
- Odak: Mimari kararlar ve gerçek dünya senaryoları
-
Yönetim ve karar verici katman:
- Amaç: Teknolojinin iş hedefleri ile hizalanması
- İçerik: Strateji, ROI, risk yönetimi
- Format: Seminer / Executive briefing
Sonuç
- Hemen uygulanabilir bilgi sağlanır
- Ekiplerin adaptasyon süresi kısaltılır
- Teknik ve yönetsel hizalanma oluşturulur
Dijital Kalenin Muhafızları: Modern AppSec
Güvenlik artık basit SQL Injection veya XSS taramalarından ibaret değildir. Yapay zeka ve bulut ekosistemlerinde var olabilmek için; API'lerdeki yetki ihlallerini (BOLA), SSRF ataklarını, Tedarik Zinciri (Supply Chain) zafiyetlerini ve yepyeni AI spesifik tehditleri (Prompt Injection) bertaraf etmeniz şarttır. OWASP Top 10 standartları, bu mücadelenin en güvenilir rehberidir.
BOLA & SSRF Savunması
Uç nokta (API) sızıntılarının ve bulut altyapılarının kötüye kullanımının önüne, "Sahiplik Doğrulama" ve sıfır güven (Zero-Trust) kurallarıyla geçin.
OWASP for LLM (Yapay Zeka)
Prompt enjeksiyonlarından veri zehirlemesine kadar, AI destekli uygulamalarınızda oluşabilecek zafiyetleri Guardrails (Bariyer) mimarisiyle engelleyin.
Eğitim Hedefi
Katılımcıları; klasik sızma testleri yapan ekiplerin ötesine taşıyıp, yazılım yaşam döngüsünün (SDLC) her noktasında güvenliği mimari olarak kurgulayan bir "AppSec Architect" seviyesine ulaştırmaktır.
Eğitim sonunda katılımcılar; modern Broken Access Control (BOLA) ihlallerini tespit eder. Hassas veriler için post-quantum (kuantum sonrası) şifreleme ve maskeleme tasarlar. Tehdit Modellemesi (STRIDE) ile Insecure Design hatalarını kağıt üzerinde yok eder. Mikroservislerdeki SSRF ve bulut yapılandırma açıklarını bertaraf eder. SBOM (Software Bill of Materials) çıkararak tedarik zinciri risklerini minimize eder. OWASP LLM Top 10 kılavuzuna uyarak AI projelerindeki prompt injection ataklarını mühürler. ZAP ve Burp Suite gibi araçları CI/CD sistemlerine otonom güvenlik adımları olarak (DevSecOps) entegre edebilirler.
Eğitim İçeriği
OWASP Evolüsyonu
- Değişen Tehditler: Modern API ve bulut mimarilerindeki güvenlik açıkları.
- Secure SDLC: Shift-Left felsefesiyle güvenliği baştan tasarlama.
- Risk Skoru: Açıkların etki (Impact) ve exploit edilebilirlik analizleri.
A01: Broken Access Control
- BOLA (Broken Object Level Auth): API nesne sahipliği krizleri.
- Privilege Escalation: Yetkileri yatay ve dikey yönde tırmandırma.
- Policy-Based Yetki: İstemci yerine sunucu kod seviyesinde güvenli tasarım.
A02: Kriptografik Hatalar
- Modern Hashing: Argon2 ve güncel hashing/salting teknikleri.
- Veri Maskeleme: KVKK, GDPR uyumluluğu için hassas verileri gizleme.
- Post-Quantum Awareness: Geleceğin kırılmaz şifreleme pratikleri (TLS 1.3+).
A03: Enjeksiyon & Modern XSS
- NoSQL & ORM Injection: Klasik SQL ötesi veritabanı manipülasyonları.
- DOM-based XSS: React, Vue, Angular uygulamalarında kod enjeksiyonu.
- CSP (Content Security Policy): Tarayıcıları sızmalara karşı yapılandırma.
A04: Insecure Design & STRIDE
- Tehdit Modelleme: STRIDE metoduyla mimari açıkları kodlamadan önce saptama.
- Security Design Patterns: Fail-safe, Least Privilege, Defense in Depth.
- İş Mantığı Hataları: Fonksiyonel akışlardaki sızıntıların tespiti.
A05 & A10: Misconfig & SSRF
- Cloud Misconfigurations: Yanlış yetkilendirilmiş S3 ve bulut sunucuları.
- Advanced SSRF: Uygulama üzerinden iç ağdaki servislere sızma.
- Hardening: API Gateway, sunucu ve konteyner sıkılaştırması.
A06: Supply Chain (Tedarik Zinciri)
- SBOM Çıkarımı: Yazılımın kullandığı 3. parti modüllerin tespiti.
- SCA Taraması: Bağımlılıklardaki bilinen CVE zafiyetlerini (Snyk vb.) bulma.
- Typosquatting: Sahte kütüphane isimleriyle projeye zararlı kod ekletme.
A08: Veri ve Yazılım Bütünlüğü
- Insecure Deserialization: Güvensiz obje dönüştürme saldırıları.
- Pipeline Bütünlüğü: CI/CD hattına sızılarak ürünün manipüle edilmesi.
- Code Signing: Yazılımın bozulmadan geldiğine dair kriptografik ispat.
OWASP for LLM (Yapay Zeka)
- Prompt Injection: LLM'e zararlı talimat vererek gizli veri sızdırma.
- Insecure Output: AI çıktısını sisteme doğrudan (eval) sokma riski.
- Guardrails: Yapay zeka ile son kullanıcı arasına güvenlik filtresi (bariyer) örme.
DevSecOps Otomasyonu
- SAST & DAST: Kod analizini ve dinamik testi boru hatlarına (Pipeline) ekleme.
- ZAP Otomasyonu: CI/CD sistemlerinde ZAP API taramasını "Fail" ettirme.
- Incident Response: Sızıntı anında uygulama loglarının yönetimi ve yama (Patch).
Eğitim Metodolojimiz
- Vulnerable-By-Design Lab: 20'den fazla OWASP zafiyeti içeren kasten hatalı uygulamaya hem saldırıp (Pwn) hem de mimarisini yeniden kodlayarak koruma simülasyonu.
- Prompt Injection Duel: Katılımcıların, özel bir Chatbot'a (LLM) bypass komutları girerek sistem veritabanı yapısını sızdırmaya çalıştıkları AI Red-Teaming atölyesi.
- The BOLA Hunt: Karmaşık bir mikroservis yapısında, diğer bir müşterinin sipariş numarasını (ID) değiştirerek izinsiz verilere ulaşma ve sonrasında "Sahiplik" kontrolüyle bu sızıntıyı kapama pratiği.
- Pipeline Shielding: GitHub / Azure DevOps üzerine otomatik OWASP ZAP (DAST) ve Trivy (SCA) adımları kurarak, açık içeren uygulamanın yayına (Deploy) gitmesini engelletme.
Hedef Kitle
Geliştiriciler & Takım Liderleri
Teknik borçlar yerine güvenli sürüm (Secure Software) kodlama kültürünü şirket standartlarına entegre edenler.
AppSec ve Güvenlik Uzmanları
Güvenlik seviyesindeki ihlalleri izleyip, Pentest çıktılarını geliştirici diline çevirerek kurumsal savunma yapan analistler.
Sistem Mimarları (Architects)
Mikroservisleri "Default Secure" (Varsayılan olarak Güvenli) felsefesine, sıfır güven (Zero-Trust) modelleriyle bağlayan mimarlar.
DevSecOps & QA Mühendisleri
Dinamik (DAST) ve Statik (SAST) testleri dağıtım (CI/CD) boru hatlarına entegre edip otomatize eden mühendisler.
Katılımcılardan Beklentilerimiz
- Yazılım Geliştirme Mantığı: C#, Java, Python, Node.js gibi herhangi bir nesne yönelimli dilde uygulama veya servis geliştirebilme becerisi.
- Web Altyapısı Bilgisi: REST API tasarımları, HTTP/HTTPS protokolleri ve tarayıcı çalışma prensipleri (Cookie, Session, CORS vb.).
- Güvenlik Merakı: Mevcut ve çalışan ("kırılmaz" sanılan) sistemlerin, siber ortamda manipüle edilme ve sızdırılma ihtimallerine karşı vizyon sahibi olma.
- Etik Uyum (Ethical Alignment): Öğrenilecek tekniklerin sadece organizasyonların güvenliğini sağlamak için profesyonelce kullanılacağına dair etik duruş.
Bu bölüm; Yetki kontrolü sağlayan (BOLA engelleyici) güvenli API algoritmalarını ve OWASP ZAP (DAST) kullanılarak otomatize edilmiş CI/CD güvenlik tarama referanslarını barındırır.
Güvenli Sahiplik Doğrulaması (BOLA Koruması)
Her API isteğinde ID'yi alıp sadece veri tabanından sormak yerine, o verinin "O Anki Kullanıcıya" ait olup olmadığını test eden yapı (Python).
# TEHLİKELİ (Insecure): Sadece OrderID ile veriyi getiriyor
# order = db.get_order(request.args.get('id'))
# GÜVENLİ (Secure BOLA Prevention):
def get_user_order(order_id, current_user_id):
order = db.orders.find_one({"_id": order_id})
if not order:
abort(404, "Sipariş bulunamadı")
# Sahiplik Kontrolü (Ownership Check)
if order['owner_id'] != current_user_id:
log_security_alert(f"IDOR / BOLA Attack detected from User: {current_user_id}")
abort(403, "Bu kayda erişim yetkiniz yoktur!")
return orderAutomated API Scan (OWASP ZAP)
Uygulamanın Swagger JSON (OpenAPI) şeması üzerinden canlıya girmeden önce tüm zafiyetlerinin otonom olarak (Docker ile) saldırılarak test edilmesi.
#!/bin/bash
# API'yi OWASP ZAP Baseline aracı ile tamamen dinamik (DAST) taramadan geçirir
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-api-scan.py \
-t https://api.vebende.com/v1/swagger.json \
-f openapi \
-r zap_report.html
# Eğer kritik açık çıkarsa boru hattını (CI pipeline) kırar (Exit code > 0)OWASP Secure Code Asistan Promptu
Geliştiricilerin yazdığı yeni kodların içine bir güvenlik açık (örneğin SQLi veya Insecure Output) kalmışsa bunu yakalayan asistan.
Sen bir "AppSec Architect" ve OWASP Top 10 uzmanısın.
Aşağıdaki Pull Request kodunu incele:
[kod_buraya]
Şu prensiplere göre analiz yap:
1. Injection: SQL, NoSQL veya Command Injection'a sebep olabilecek sanitize edilmemiş kullanıcı girdisi var mı? (Parameterized Query kullanılmış mı?)
2. SSRF (Server-Side Request Forgery): Dışarıdan URL alıp HTTP isteği atan bir kod bloğu varsa, hedef URL'nin whitelist'i (izinli liste) kontrol edilmiş mi?
3. BOLA (Broken Authorization): Nesne çekilen metotlarda, objenin sahipliği (Owner ID) doğrulanmış mı?
4. Eksikleri düzelt ve kodun güvenli (Secure) versiyonunu yaz.Aradığınız Eğitimi Bulduğunuzu Düşünüyorsanız!
Kurumsal eğitim programlarımız, sektörün en güncel ve kritik teknoloji trendlerinde yetkinlik kazanmanız amacıyla lider seviyede yapılandırıldı. Küresel 1-10 değerlendirme sistemlerinde 9.5 ve üzeri memnuniyet puanı alan eğitim içeriklerimiz, ekibinize pratik yetkinlik kazandırmak için tasarlandı.
25 yılı aşkın eğitim sektörü birikimimizi, küresel savunma sanayii ve kurumsal DevOps/Siber Güvenlik danışmanlığı tecrübelerimizle harmanlıyoruz. Ekiplerinizin ihtiyaç duyduğu pratik becerileri, tamamen kuruma özel özgün laboratuvar senaryolarıyla destekleyerek sunuyoruz.
Eğitimin ardından tüm katılımcılara özel GitHub depoları üzerinden hazır çalışma ortamları (labs) ve hayat boyu erişebilecekleri dokümantasyon kütüphanesi açılmaktadır. Kurumsal hedeflerinizi uzmanlığımızla gerçeğe dönüştürün.
Eksiksiz Eğitim Kataloğu
Hands-on Kurumsal Eğitim, Workshop ve Turquality Programları
Tüm eğitimlerimiz, 35 yıllık mühendislik deneyiminin süzgecinden geçmiş, tamamen gerçek dünya senaryolarına (Case Study) dayalı ve hands-on (uygulamalı) olarak sunulmaktadır. Materyaller Git üzerinden dinamik olarak paylaşılır ve katılımcı ihtiyaçlarına göre özelleştirilmiş danışmanlık katmanı içerir.
Yapay Zeka, Üretken AI ve AGI Stratejileri
Genel Yapay Zeka (AGI) vizyonundan otonom ajan mimarilerine, kurumsal RAG ve Fine-Tuning stratejilerinden açıklanabilir AI standartlarına uzanan derinlemesine programlar.
DevOps, Kubernetes ve Platform Otomasyonu
Cloud-native altyapıların kurulumu, orkestrasyonu ve yönetiminde endüstriyel standartlar (NIST, CNCF) ile yüksek erişilebilirlik çözümleri.
Siber Güvenlik, DevSecOps ve Defansif Teknolojiler
Yazılım yaşam döngüsünün her aşamasında güvenlik (Security by Design), siber farkındalık ve kurumsal SOC operasyonları uzmanlığı.
Blockchain, Web3 ve Akıllı Sözleşme Geliştirme
Merkeziyetsiz internet (Web3) ekosisteminde; DAO yapıları, NFT mülkiyeti ve Solidity ile güvenli kontrat geliştirme uzmanlığı.
Yazılım Mimarisi, Big Data ve Veri Yönetimi
Event-driven sistemler, mikroservis modernizasyonu ve yüksek trafikli projelerin mimari tasarımı ve optimizasyonu.
Mikroservis Yazılım Üretimi ve Programlama Dilleri
Çok dilli (Polyglot) geliştirme ortamlarında mikroservis tasarımı, asenkron programlama ve temiz kod standartları.
Proje Yönetimi, Agile ve SAFe Metodolojileri
Kurumsal çevikliğin (Business Agility) sağlanmasında; Scrum, Kanban ve SAFe framework'lerinin uygulanması ve PMP standartları.
Teknik Workshop ve Derin Dalış (Deep Dive) Seansları
Spesifik mühendislik problemlerine odaklanan, kısa süreli ancak yoğun uygulama içeren laboratuvar çalışmaları.
Turquality ve Kurumsal Gelişim Programları
Globalleşen kurumlar için Turquality standartlarında teknoloji modernizasyonu, dijital dönüşüm ve stratejik yönetim eğitimleri.
Tüm Workshoplar Sizin İçin Özel Hazırlananan Kurumsal Workshoplarımız
Workshoplar konuların 360 derece açıdan ele alındığı, konuların derinlemesine işlendiği, handsonlar ile katılımcıların birlikte çalışma fırsatı bulduğu en kapsamlı eğitim formatımızdır.
Tüm Seminerlerimiz Sizin İçin Özel Hazırlananan Kurumsal Seminerlerimiz
Tüm seminerlerimiz sizin senaryolarınız ve ihtiyaçlarınız için size özel hazırlanır. Katılımcı profiline uygun özel örnekler ve katılımı teşvik edecek özel içerikler ile zenginleştirilir.