Module 1
Secure Coding Fundamentals (Güvenli Kodlamaya Giriş)
- Secure coding nedir? Neden kritik bir gereksinimdir?
- OWASP Top 10 genel bakış
- Tehdit modelleme (STRIDE, DREAD)
- Python’da sık görülen güvenlik hataları
Modüller & İçerik
Eğitim, 12 modülden oluşan kapsamlı ve uygulama ağırlıklı bir yapı sunar. Modüller; güvenli kodlama temelleri ve OWASP Top 10 genel çerçevesiyle başlayarak, erişim kontrolü, kriptografik hatalar, injection türleri ve güvensiz tasarım problemlerini Python örnekleri üzerinden ele alır. Eğitim ilerledikçe framework ve konfigürasyon hataları, zafiyetli bağımlılıklar, kimlik doğrulama problemleri ve yazılım bütünlüğü riskleri detaylandırılır. Son modüllerde ise güvenli loglama, izleme, SSRF zafiyetleri ve uçtan uca güvenli Python uygulaması geliştirmeye yönelik hands-on laboratuvarlar yer alır. Bu yapı sayesinde eğitim, OWASP Top 10 kapsamındaki riskleri teorik ve pratik olarak ele alarak, Python geliştiricilerine güvenli yazılım geliştirme konusunda güçlü bir yetkinlik kazandırır.
Module 2
A01: Broken Access Control (Erişim Kontrolü Açıkları)
- Yetki yükseltme (Privilege escalation)
- Python Flask/Django access control örnekleri
- IDOR zafiyeti tespiti ve korunma yöntemleri
- Role-based access control (RBAC) implementasyonu
Module 3
A02: Cryptographic Failures
- Yanlış şifreleme kullanım senaryoları
- Python hashlib, hmac, secrets modülleri
- Sensitive data exposure senaryoları
- Doğru şifreleme (AES-GCM, RSA) örnekleri
Module 4
A03: Injection (SQL, Command, Code Injection)
- SQL Injection gösterimi (Python + SQLite/MySQL)
- Parameterized queries kullanımı
- Command injection hataları (os.system, subprocess)
- Template injection örnekleri
Module 5
A04: Insecure Design
- Güvensiz iş mantığı hataları
- Python ile güvenli mimari desenler
- Anti-pattern’ler ve zayıf iş kuralları
- Threat modeling workshop
Module 6
A05: Security Misconfiguration
- Güvensiz Python framework konfigürasyonları
- Debug mode riskleri (Flask/Django)
- HTTP headers güvenlik ayarları
- Container konfigürasyon problemleri
Module 7
A06: Vulnerable and Outdated Components
- Python paket güvenlik analizi (pip-audit, safety)
- SBOM (Software Bill of Materials) üretimi
- Kütüphane güncelleme stratejileri
- Supply chain saldırılarından korunma
Module 8
A07: Identification & Authentication Failures
- Zayıf authentication tasarımı
- JWT güvenli kullanımı
- Session fixation & hijacking korunma yöntemleri
- Multi-factor authentication entegrasyonu
Module 9
A08: Software and Data Integrity Failures
- Python pickle, eval, exec riskleri
- CI/CD pipeline güvenliği
- Hash doğrulama ve imzalama mekanizmaları
- Dependency integrity validation
Module 10
A09: Security Logging & Monitoring Failures
- Python logging framework güvenli kullanımı
- Audit log standardı
- Anomaly detection için log oluşturma
- SIEM entegrasyonu senaryoları
Module 11
A10: Server-Side Request Forgery (SSRF)
- SSRF çalışma mantığı
- Python requests modülü üzerinden SSRF exploit gösterimi
- Güvenli whitelist/denylist mimarisi
- Cloud environment SSRF riskleri
Module 11
Python Güvenlik Uygulamaları (Hands-on Lab)
- Mini güvenli API geliştirme
- Python’da input validation ve sanitizer oluşturma
- Secure file upload örneği
- Hardening checklist uygulaması
- Gerçek hayat örneği: OWASP Top 10’a uyumlu mikroservis geliştirme