DERSİN GENEL BİLGİLERİ |
| Ders Kodu | Ders Adı | Yıl | Yarıyıl | Teorik | Pratik | Kredi | AKTS |
| 50613METOZ-BGP0042 | Güvenli Web Yazılımı Geliştirme | 1 | Bahar | 2 | 1 | 3 | 3 |
| Dersin Türü: | Zorunlu |
| Dersin Düzeyi: | Önlisans TYYÇ:5. Düzey QF-EHEA:Kısa Düzey EQF-LLL:5. Düzey |
| Dersin Öğretim Dili: | Türkçe |
| Dersin Ön/Yan Koşulu: | Yoktur |
| Dersin Veriliş Şekli: | Yüz yüze |
| Dersin Koordinatörü: | |
| Dersin Öğretim Eleman(lar)ı: |
Öğretim Görevlisi FATİH BİNGÜL |
| Dersin Kategorisi: | Mesleki Alan |
BÖLÜM II: DERSİN TANITIMI |
| Dersin Amacı: | Bu ders ile web uygulamaları ağırlıklı zafiyetlerin önlenmesi için gerekli yapıların kullanılması ve bazı durumlarda üretilmesi amaçlanmaktadır. |
| Dersin İçeriği: | Genel HTTP bilgisi ve tarihçesi, HTTP/2 ve farkları, güvenlik ile alakalı HTTP başlıkları, web uygulamalarında görülen zafiyet türleri, pasif ve aktif bilgi toplama,web uygulama güvenliği |
| Temel Prensipler: Her proje, güvenlik ilkelerine uygun olarak tasarlanmalıdır. Kod İncelemesi: Tüm kodlar, en az bir arkadaş tarafından gözden geçirilmelidir. Dökümantasyon: Yazılımın her aşaması ayrıntılı bir şekilde belgelenmelidir. Güncellemeler: Kütüphaneler ve araçlar, en güncel sürümlerde kullanılmalıdır. Test Süreci: Güvenlik testleri, her geliştirme döngüsünde zorunludur. Sorumluluk: Her öğrenci, kendi projesinin güvenliğinden sorumlu olmalıdır. |
| Bilgi (Kuramsal ve/veya olgusal bilgi olarak tanımlanmıştır.) | ||
|
1) HTTP kavramlarını bilir. |
||
|
2) Web uygulamalarında görülen zafiyet türlerini bilir. |
||
|
3) Web yazılım güvenliği açıklarını bilir. |
||
|
4) Aktif ve pasif bilgi toplama yöntemlerini bilir. |
||
| Beceriler (Bilişsel ve/veya uygulama becerileri olarak tanımlanmıştır.) | ||
|
1) Web uygulama zafiyetlerini önler. |
||
| Yetkinlikler ("Bağımsız Çalışabilme", "Sorumluluk Alabilme", "Öğrenme", "İletişim ve Sosyal" ve "Alana Özgü" yetkinlikler olarak tanımlanmıştır.) | ||
| Hafta | Konu | ||
| Ön Hazırlık | Pekiştirme | ||
| 1) | Genel HTTP bilgisi ve tarihçesi | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 2) | HTTP/2 ve farkları | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 3) | Güvenlik ile alakalı HTTP başlıkları | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 4) | Web uygulamalarında görülen zafiyet türleri | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 5) | Web uygulamalarında görülen zafiyet türleri | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 6) | Web uygulamalarında görülen zafiyet türleri | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 7) | Web uygulamalarında görülen zafiyet türleri | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 8) | Ara Sınav | ||
| 9) | Web Yazılım Güvenliği | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 10) | Web Yazılım Güvenliği | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 11) | Web Uygulama Güvenliği Bileşenleri | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 12) | Web Uygulama Güvenliği Bileşenleri | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 13) | Web Uygulama Güvenliği Bileşenleri | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 14) | Pasif Bilgi Toplama | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 15) | Aktif Bilgi Toplama | Bünyamin Demir, Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen, 2020. İlgili bölümün ve elde edilecek diğer kaynakların okunması | |
| 16) | Yarıyıl Sonu Sınavı | ||
| Ders Notları / Kitaplar: | Bünyamin Demir, 2020; Yazılım Güvenliği Saldırı ve Savunma, 4.Baskı, Dikeyeksen |
| Diğer Kaynaklar: | Furkan Çontar, 2016; Ağ ve Yazılım Güvenliği, Kodlab Enes Aslanbakan, 2016; Bilgi Güvenliği ve Uygulamalı Hacking Yöntemleri, Pusula Yayıncılık Erhan Saygılı, 2018; Web Uygulamalar Güvenliği Ve Hacking Yöntemleri, Dikeyeksen Mustafa Altınkaynak, 2017; Uygulamalı Siber Güvenlik ve Hacking, Abaküs Kitap CEH Eğitim Notları |
DERS ÖĞRENME ÇIKTILARI - PROGRAM ÖĞRENME ÇIKTILARI İLİŞKİSİ |
| Ders Öğrenme Çıktıları (DÖÇ) | 1 |
2 |
3 |
5 |
4 |
||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Program Öğrenme Çıktıları (PÖÇ) | |||||||||||||||||||||||||||||||
| 1) İş hayatındaki tüm süreçleri deneyimler. | |||||||||||||||||||||||||||||||
| 1) Bilgi güvenliği teknolojisi ve yazılım alanındaki temel, kuramsal ve uygulamalı bilgileri açıklar. | |||||||||||||||||||||||||||||||
| 1) Bilgi teknolojileri sistemlerinin bilinen siber güvenlik açıklıklarına karşı yayınlanan yamaların takibini yapar. | |||||||||||||||||||||||||||||||
| 1) Problemleri analiz edebilme ve çözebilme yetkinliği kazanır. | |||||||||||||||||||||||||||||||
| 1) Donanım aracılığı ile meydana gelebilecek herhangi bir istismarın tespiti ve önlenmesi için gerekli görev ve sorumlulukları listeler. | |||||||||||||||||||||||||||||||
| 1) Kurumsal siber güvenlik kural ve yönergelerini tanımlar. | |||||||||||||||||||||||||||||||
| 2) Bilgi Güvenliği Prosedür ve kontrol bileşenlerini oluşturur. | |||||||||||||||||||||||||||||||
| 2) Etik ve sosyal sorumluluk bilincine sahiptir. | |||||||||||||||||||||||||||||||
| 2) Yazılım bileşenlerinde meydana gelebilecek herhangi bir istismarın tespiti ve önlenmesi için gerekli görev ve sorumlulukları listeler. | |||||||||||||||||||||||||||||||
| 2) Alanında faaliyet gösteren bir işletmede eğitim alanı ile ilgili faaliyetlerde yer alır. | |||||||||||||||||||||||||||||||
| 2) Kullanıcıların işlerini yapabilecekleri kadar yetki verilmesinin önemini açıklar. | |||||||||||||||||||||||||||||||
| 2) Siber varlıkları bilir ve bilgi güvenliği açısından analiz eder. | |||||||||||||||||||||||||||||||
| 3) Alanı ile ilgili iş ve işlemlerde ekip üyesi olarak sorumluluk alır. | |||||||||||||||||||||||||||||||
| 3) Yerel alan ağlarında meydana gelebilecek herhangi bir istismarın tespiti ve önlenmesi için gerekli görev ve sorumlulukları listeler. | |||||||||||||||||||||||||||||||
| 3) Teorik bilgiler ile uygulamayı karşılaştırır. | |||||||||||||||||||||||||||||||
| 3) Siber saldırıya karşı teknolojik olmayan mücadele araç ve metotlarını tespit eder. | |||||||||||||||||||||||||||||||
| 3) Siber güvenlik risk yönetimi sistemini deneyimler. | |||||||||||||||||||||||||||||||
| 3) Etkili olay yönetimi için gerekli politikaları ve süreçleri açıklar. | |||||||||||||||||||||||||||||||
| 4) Alanında edindiği bilgi ve tecrübeleri derler. | |||||||||||||||||||||||||||||||
| 4) Yazılı, sözlü iletişim ve etkileşimin farkındadır. | |||||||||||||||||||||||||||||||
| 4) Yetkilerin doğru yapılandırılması, gerçekleşmiş, gerçekleşmekte veya başarısız olmuş siber saldırın tespiti, koruma için tepkinin zamanında verilebilmesi ve yasal zorunlukların yerine getirilmesini için siber sistemlerin izlenmesinin önemini açıklar. | |||||||||||||||||||||||||||||||
| 4) Siber saldırıya karşı teknolojik yöntem araç ve metotlarını tespit eder. | |||||||||||||||||||||||||||||||
| 4) Bir yarı yıl boyunca iş hayatının içinde bulunarak öğrendiği teorik bilgilerini uygular. | |||||||||||||||||||||||||||||||
| 5) İleri teknolojileri ve dijital dönüşüm ile ilgili gelişmeleri takip eder. | |||||||||||||||||||||||||||||||
| 5) Kullanıcı eğitimi ve siber güvenlik farkındalığının önemini açıklar. | |||||||||||||||||||||||||||||||
| 5) İş dünyasının ve toplumun beklentileri doğrultusunda gelişen ve üniversitemizin kurumsal çıktıları olarak tanımlamış olduğu yetkinlikleri alanı ile ilişkili olarak temel düzeyde kazanır. | |||||||||||||||||||||||||||||||
| 6) Bilgi Güvenliği Teknolojisi alanı ile ilgili ulusal ve uluslararası mevzuat ve düzenlemeleri hatırlar. | |||||||||||||||||||||||||||||||
| 6) Yaşamboyu öğrenme bilinci kazanır. | |||||||||||||||||||||||||||||||
| 7) Programlama temellerini ve algoritma bilgisini tanımlar. | |||||||||||||||||||||||||||||||
| 7) Yurttaşlık yeterliliği konusunda bilinç sahibidir. | |||||||||||||||||||||||||||||||
| 8) Alanıyla ilgili gelişmeleri girişimci anlayışla değerlendirir. | |||||||||||||||||||||||||||||||
| 9) Avrupa Dil Portfolyosunun en az A2 düzeyinde tanımlanan Yabancı Dilde (İngilizce) iletişim kurma yetkinliği kazanır. (Öğretim dili İngilizce olan programlar için B1 düzeyinde). | |||||||||||||||||||||||||||||||
BÖLÜM III: DERSİN PROGRAM ÖĞRENME ÇIKTILARI İLE İLİŞKİSİ |
| Etkisi Yok | 1 En Düşük | 2 Düşük | 3 Orta | 4 Yüksek | 5 En Yüksek |
| Program Öğrenme Çıktıları | Katkı Oranı (1-5) | |
| 1) | İş hayatındaki tüm süreçleri deneyimler. | 1 |
| 1) | Bilgi güvenliği teknolojisi ve yazılım alanındaki temel, kuramsal ve uygulamalı bilgileri açıklar. | |
| 1) | Bilgi teknolojileri sistemlerinin bilinen siber güvenlik açıklıklarına karşı yayınlanan yamaların takibini yapar. | 1 |
| 1) | Problemleri analiz edebilme ve çözebilme yetkinliği kazanır. | 5 |
| 1) | Donanım aracılığı ile meydana gelebilecek herhangi bir istismarın tespiti ve önlenmesi için gerekli görev ve sorumlulukları listeler. | 1 |
| 1) | Kurumsal siber güvenlik kural ve yönergelerini tanımlar. | 2 |
| 2) | Bilgi Güvenliği Prosedür ve kontrol bileşenlerini oluşturur. | 2 |
| 2) | Etik ve sosyal sorumluluk bilincine sahiptir. | 1 |
| 2) | Yazılım bileşenlerinde meydana gelebilecek herhangi bir istismarın tespiti ve önlenmesi için gerekli görev ve sorumlulukları listeler. | 5 |
| 2) | Alanında faaliyet gösteren bir işletmede eğitim alanı ile ilgili faaliyetlerde yer alır. | 1 |
| 2) | Kullanıcıların işlerini yapabilecekleri kadar yetki verilmesinin önemini açıklar. | 1 |
| 2) | Siber varlıkları bilir ve bilgi güvenliği açısından analiz eder. | |
| 3) | Alanı ile ilgili iş ve işlemlerde ekip üyesi olarak sorumluluk alır. | 1 |
| 3) | Yerel alan ağlarında meydana gelebilecek herhangi bir istismarın tespiti ve önlenmesi için gerekli görev ve sorumlulukları listeler. | 1 |
| 3) | Teorik bilgiler ile uygulamayı karşılaştırır. | 5 |
| 3) | Siber saldırıya karşı teknolojik olmayan mücadele araç ve metotlarını tespit eder. | 5 |
| 3) | Siber güvenlik risk yönetimi sistemini deneyimler. | |
| 3) | Etkili olay yönetimi için gerekli politikaları ve süreçleri açıklar. | 1 |
| 4) | Alanında edindiği bilgi ve tecrübeleri derler. | 5 |
| 4) | Yazılı, sözlü iletişim ve etkileşimin farkındadır. | 1 |
| 4) | Yetkilerin doğru yapılandırılması, gerçekleşmiş, gerçekleşmekte veya başarısız olmuş siber saldırın tespiti, koruma için tepkinin zamanında verilebilmesi ve yasal zorunlukların yerine getirilmesini için siber sistemlerin izlenmesinin önemini açıklar. | 1 |
| 4) | Siber saldırıya karşı teknolojik yöntem araç ve metotlarını tespit eder. | 1 |
| 4) | Bir yarı yıl boyunca iş hayatının içinde bulunarak öğrendiği teorik bilgilerini uygular. | |
| 5) | İleri teknolojileri ve dijital dönüşüm ile ilgili gelişmeleri takip eder. | 2 |
| 5) | Kullanıcı eğitimi ve siber güvenlik farkındalığının önemini açıklar. | 1 |
| 5) | İş dünyasının ve toplumun beklentileri doğrultusunda gelişen ve üniversitemizin kurumsal çıktıları olarak tanımlamış olduğu yetkinlikleri alanı ile ilişkili olarak temel düzeyde kazanır. | |
| 6) | Bilgi Güvenliği Teknolojisi alanı ile ilgili ulusal ve uluslararası mevzuat ve düzenlemeleri hatırlar. | 1 |
| 6) | Yaşamboyu öğrenme bilinci kazanır. | 1 |
| 7) | Programlama temellerini ve algoritma bilgisini tanımlar. | 5 |
| 7) | Yurttaşlık yeterliliği konusunda bilinç sahibidir. | 1 |
| 8) | Alanıyla ilgili gelişmeleri girişimci anlayışla değerlendirir. | 1 |
| 9) | Avrupa Dil Portfolyosunun en az A2 düzeyinde tanımlanan Yabancı Dilde (İngilizce) iletişim kurma yetkinliği kazanır. (Öğretim dili İngilizce olan programlar için B1 düzeyinde). | 1 |
BÖLÜM IV: DERSİN ÖĞRENME VE ÖĞRETME YÖNTEMLERİ İLE ÖLÇME VE DEĞERLENDİRME YÖNTEMLERİ |
| Anlatım | |
| Gösterip Yaptırma | |
| Laboratuvar | |
| Okuma | |
| Ödev | |
| Beyin Fırtınası | |
| Bireysel ve Grup Çalışması | |
| Derse Aktif Katılım |
| Ara Sınav | |
| Yarıyıl Sonu Sınavı | |
| Kısa Sınav | |
| Ödev Değerlendirme |
| Ölçme ve Değerlendirme Yöntemleri | Uygulama Sayısı / Yarıyıl | Katkı Oranı |
| Kısa Sınavlar | 1 | % 10.00 |
| Ödev | 1 | % 10.00 |
| Ara Sınavlar | 1 | % 30.00 |
| Yarıyıl Sonu Sınavı | 1 | % 50.00 |
| Toplam | % 100 | |
| YARIYIL İÇİ ÖLÇME VE DEĞERLENDİRME YÖNTEMLERİNİN BAŞARI NOTUNA KATKI ORANI | % 50 | |
| YARIYIL SONU SINAVININ BAŞARI NOTUNA KATKI ORANI | % 50 | |
| Toplam | % 100 | |
BÖLÜM V: DERSİN İŞ YÜKÜ VE AKTS KREDİSİ |
| ÖĞRENME VE ÖĞRETME ETKİNLİKLERİ İŞ YÜKÜ | |||
| Öğrenme ve Öğretme Etkinlikleri | Etkinlik Sayısı/Yarıyıl | Süresi (saat) | Toplam İş Yükü |
| Ders | 14 | 2 | 28 |
| Laboratuvar | 14 | 1 | 14 |
| Uygulama | 0 | 0 | 0 |
| Derse Özgü Staj | 0 | 0 | 0 |
| Arazi Çalışması | 0 | 0 | 0 |
| Sınıf Dışı Ders Çalışması | 0 | 0 | 0 |
| Sunum / Seminer | 0 | 0 | 0 |
| Proje | 0 | 0 | 0 |
| Ödevler | 1 | 5 | 5 |
| Öğrenme ve Öğretme Etkinlikleri Toplam İş Yükü | - | - | 47 |
| ÖLÇME VE DEĞERLENDİRME ETKİNLİKLERİ İŞ YÜKÜ | |||
| Ölçme ve Değerlendirme Etkinlikleri | Etkinlik Sayısı/Yarıyıl | Süresi (saat) | Toplam İş Yükü |
| Kısa Sınav | 2 | 6 | 12 |
| Ara Sınavlar | 1 | 8 | 8 |
| Yarıyıl Sonu Sınavı | 1 | 10 | 10 |
| Ölçme ve Değerlendirme Etkinlikleri Toplam İş Yükü | - | - | 30 |
| TOPLAM İŞ YÜKÜ (Öğrenme ve Öğretme + Ölçme ve Değerlendirme Etkinlikleri) | 77 | ||
| DERSİN AKTS KREDİSİ (Toplam İş Yükü/25.5 Saat) | 3 | ||