1. Gün: Sızma Testi Temelleri ve Bilgi Toplama

• Modül 1: Sızma Testi Nedir?

  • Sızma testi çeşitleri: Black Box, White Box, Grey Box

  • Pentest metodolojisi: Planlama, keşif, analiz, raporlama

  • Pentest ile güvenlik değerlendirme arasındaki farklar

• Modül 2: Yasal Çerçeve ve Etik Kurallar

  • Hukuki izinler ve sorumluluklar

  • Sızma testi sözleşmeleri ve gizlilik anlaşmaları

  • Etik hackerlık tanımı ve etik standartlar

• Modül 3: Bilgi Toplama Teknikleri

  • OSINT (Açık Kaynak İstihbaratı) araçları: Maltego, Shodan

  • DNS analizleri, WHOIS sorguları, IP keşifleri

  • Sosyal mühendislik yoluyla bilgi toplama

• Modül 4: Aktif ve Pasif Bilgi Toplama Pratikleri

  • Uygulamalı: Nmap, Recon-ng, Harvester kullanımı

  • Hedef sistemler hakkında veri toplama ve analiz

2. Gün: Ağ Güvenliği Testleri

• Modül 5: Ağ Keşfi ve Tarama Teknikleri

  • Port taramaları ve servis tespiti

  • Zafiyet taramaları: Nessus, OpenVAS, Nikto kullanımı

• Modül 6: Ağ Güvenlik Zafiyetleri

  • Ortadaki Adam (MITM) saldırıları

  • ARP spoofing, DNS spoofing, Wireshark kullanımı

  • Ağ segmentasyonu ve güvenlik kontrollerinin test edilmesi

• Modül 7: Güvenlik Çözümleri Bypass Teknikleri

  • Güvenlik cihazları bypass yöntemleri

  • IDS/IPS sistemlerinin atlatılması

  • VPN ve şifreli trafik analizleri

• Modül 8: Ağ Güvenlik Testi Pratikleri

  • Uygulamalı: Nmap, Hping3, Ettercap ve Wireshark kullanarak ağ testleri

3. Gün: Web Uygulama Güvenliği Testleri

• Modül 9: OWASP Top 10 Zafiyetleri

  • SQL Injection, XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery)

  • Güvensiz kimlik doğrulama ve yetkilendirme testleri

• Modül 10: Web Güvenlik Test Araçları

  • Burp Suite, OWASP ZAP, SQLMap kullanımı

  • Web sunucularının zafiyet analizi

• Modül 11: Web Uygulama Test Pratikleri

  • Uygulamalı: SQL Injection, LFI/RFI, güvenli olmayan dosya yüklemeleri

  • Test sonuçlarının analizi ve çözüm önerileri

• Modül 12: Web Uygulama Güvenlik Testi Senaryoları

  • Örnek vaka çalışması: Bir e-ticaret sitesinin zafiyet analizi

4. Gün: Sistem Güvenliği ve İç Ağ Testleri

• Modül 13: Sistem Güvenlik Testleri

  • Windows/Linux sistemlerde zafiyet taramaları

  • Privilege Escalation (Yetki Yükseltme) teknikleri

• Modül 14: İç Ağ Testleri ve Post-Exploitation

  • Sistemlere erişim sonrası yapılacak işlemler

  • Veri toplama, arka kapı oluşturma (backdoor) yöntemleri

• Modül 15: Aktif Dizin (Active Directory) Güvenliği

  • AD zafiyetleri ve test yöntemleri

  • Kerberoasting, Pass-the-Hash gibi saldırı teknikleri

• Modül 16: Pratik: Sistem ve İç Ağ Güvenlik Testi

  • Uygulamalı: Metasploit Framework ve PowerShell kullanarak istismar çalışmaları

5. Gün: Raporlama, Vaka Çalışması ve Kapanış

• Modül 17: Sızma Testi Bulgularının Raporlanması

  • Bulguların sınıflandırılması ve risk değerlendirmesi

  • Profesyonel raporlama teknikleri ve çözüm önerileri

• Modül 18: Gerçek Dünya Senaryoları

  • Örnek olaylar: Kurumsal ağlarda yapılan sızma testleri

  • Sektörel örnekler: Finans ve savunma sektörleri

• Modül 19: Uygulamalı Vaka Çalışması

  • Takım çalışması ile hedef bir sistemin sızma testi

  • Test sonuçlarının raporlanması ve sunumu

• Modül 20: Eğitim Değerlendirmesi

  • Eğitimin genel değerlendirilmesi