DAST (Dinamik Uygulama Güvenlik Testi) Nedir?
Dinamik uygulama güvenlik testi, veya DAST, bir uygulamanın güvenliğini çalışırken kontrol etmenin bir yoludur. SAST’tan farklı olarak, kaynak kodu inceleyen DAST, SQL Enjeksiyonu ve Siteler Arası Betik Çalıştırma gibi gerçek saldırıları canlı bir ortamda simüle ederek güvenliği test eder.
DAST genellikle Kara Kutu Testi olarak adlandırılır çünkü dışarıdan bir güvenlik testi yürütür.
Siber Güvenlikte DAST’ın Önemi
Bazı güvenlik sorunları yalnızca canlı olduğunda ortaya çıkar, özellikle çalışma zamanı, davranış veya kullanıcı doğrulaması ile ilgili olanlar. DAST, organizasyonlara yardımcı olur:
- SAST aracı tarafından gözden kaçırılan güvenlik sorunlarını keşfetmek.
- Uygulamayı gerçek dünya koşullarında değerlendirmek, ön uç ve API dahil.
- Web uygulama saldırılarına karşı uygulama güvenliğini güçlendirmek.
DAST Nasıl Çalışır
- Uygulamayı test veya sahneleme ortamında çalıştırın.
- Kötü niyetli veya beklenmedik girdiler gönderin (özel URL’ler veya yükler gibi)
- Güvenlik açıklarını tespit etmek için uygulama yanıtını analiz edin.
- İyileştirme önerileri içeren raporlar oluşturun (Plexicus’ta, hatta daha iyi, iyileştirmeyi otomatikleştirir)
DAST Tarafından Tespit Edilen Yaygın Güvenlik Açıkları
- SQL Enjeksiyonu: saldırganlar veritabanı sorgularına kötü niyetli SQL kodu ekler
- Siteler Arası Betik Çalıştırma (XSS): kötü niyetli betikler kullanıcıların tarayıcılarında çalışacak şekilde web sitelerine enjekte edilir.
- Güvensiz sunucu yapılandırmaları
- Bozuk kimlik doğrulama veya oturum yönetimi
- Hata mesajlarında hassas verilerin ifşası
DAST’ın Faydaları
- SAST araçları tarafından gözden kaçırılan güvenlik açıklarını kapsar
- Gerçek dünya saldırılarını simüle eder.
- Kaynak koda erişim olmadan çalışır
- PCI DSS, HIPAA ve diğer çerçeveler gibi uyumluluğu destekler.
Örnek
Bir DAST taramasında, araç bir giriş formunda kullanıcıların yazdıklarını düzgün bir şekilde kontrol etmeyen bir güvenlik sorunu bulur. Araç özel olarak tasarlanmış bir SQL komutu girdiğinde, web sitesinin SQL enjeksiyonu yoluyla saldırıya uğrayabileceğini gösterir. Bu keşif, geliştiricilerin uygulama üretime geçmeden önce güvenlik açığını düzeltmelerini sağlar.