Sabah oturumuna Proxy konusuyla başladık. Proxy’nin desteklediği protokolleri, kullanım senaryolarını ve Wireshark benzeri uygulamalarla aynı OSI katmanlarında çalışmıyor olmalarından doğan farklılıkları öğrendik. Bilgisayarlarımıza birer Proxy uygulaması kurarak konunun teorik kısmını bitirdik. Aradan sonra Ömer Çıtak API konusuna başladı. API’lara neden ihtiyaç duyulduğunu ve DOM’un nasıl çalıştığını anlatabilmek için HTML ve CSS’in 101 konularına bir giriş yaptı. REST prensiplerinden ve bu prensipleri sağlayan sistemlerin isimlendirildiği RESTful kavramından bahsetti. API versiyonlama ve bu versiyonlama sırasında oluşabilecek muhtemel Local File Inclusion zafiyetini anlattı. Session Hijacking (Oturum Ele Geçirme), Session Fixation (Oturum Sabitleme), Cookie Tracking (Çerez İzleme), Authentication (Kimlik Doğrulama) konularından sonra sözü Zekvan Arslan’a bıraktı. O da yaptığı Same Origin Policy (Aynı Kök Politikası), Cross Origin Request Sharing (Kökler Arası Kaynak Paylaşımı) veServer Side Request Forgery (Sunucu Taraflı İstek Sahteciliği) anlatımlarıyla oturumu bitirdi.
Öğle oturumunu Bug Bounty (Ödüllü Yazılım Açığı Bulma) konusuna ayırdık. HackerOne ve Bugcrowd gibi platformları inceledik. Aslında tam olarak bir kültür dersi oldu. Web uygulama güvenliğinin bambaşka bir yüzünü tanıdık. Bug Bounty platformlarında ve zafiyet tespitlerinde kullanmak üzere kimi ipuçları öğrendik ve Amass, SubFinder, EyeWitness, XSS Hunter gibi araçların marifetlerini gördük. Derste kaynak olarak kullandığımız “The Bug Hunters Methodology v3” isimli sunuma buradan ulaşılabilir.
Akşam oturumunda sabah kurduğumuz Proxy uygulamaları üzerinde pratikler yaptık. Uygulamaların arayüzünü tanıyarak ve ham HTTP istekleri yazıp gelen yanıtları okuyarak oturumu ve günü bitirdik.
Yarın kampın ikinci arasından önceki son gün. Artık yavaş yavaş sona yaklaşıyoruz.