IAST (Etkileşimli Uygulama Güvenliği Testi) Nedir?
Etkileşimli Uygulama Güvenliği Testi (IAST), uygulama güvenlik açıklarını daha etkili bir şekilde bulmak için Statik Uygulama Güvenliği Testi (SAST) ve Dinamik Uygulama Güvenliği Testi (DAST) yöntemlerini birleştiren bir yöntemdir.
IAST özellikleri şunları içerir:
- IAST araçları, uygulama çalışırken içine sensörler veya izleme bileşenleri ekleyerek çalışır. Bu araçlar, testler otomatik veya insanlar tarafından yapılırken uygulamanın nasıl davrandığını izler. Bu yaklaşım, IAST’nin kod yürütmesini, kullanıcı girdilerini ve uygulamanın verileri nasıl işlediğini gerçek zamanlı olarak kontrol etmesine olanak tanır.
- IAST, tüm kod tabanını otomatik olarak taramaz; kapsamı, testler sırasında uygulamanın ne kadar geniş bir şekilde kullanıldığına bağlıdır. Test etkinliği ne kadar kapsamlı olursa, güvenlik açığı kapsamı o kadar derin olur.
- IAST genellikle otomatik veya manuel işlevsel testlerin yapıldığı QA veya sahneleme ortamlarında dağıtılır.
Siber Güvenlikte IAST’nin Önemi
SAST, uygulamayı çalıştırmadan kaynak kodu, bayt kodu veya ikili dosyaları analiz eder ve kodlama hatalarını ortaya çıkarmada oldukça etkilidir, ancak yanlış pozitifler üretebilir ve çalışma zamanı ile ilgili sorunları kaçırabilir.
DAST, uygulamaları çalışırken dışarıdan test eder ve yalnızca çalışma zamanında ortaya çıkan sorunları açığa çıkarabilir, ancak iç mantık veya kod yapısına derinlemesine görünürlük sağlamaz. IAST, bu tekniklerin güçlü yönlerini birleştirerek boşluğu doldurur ve şu avantajları sağlar:
- Güvenlik açığı kaynakları ve yolları hakkında daha derin içgörüler.
- Yalnızca SAST veya DAST’a kıyasla daha iyi tespit doğruluğu.
- Çalışma zamanı etkinliğini kod analizi ile ilişkilendirerek yanlış pozitiflerin azaltılması.
IAST Nasıl Çalışır
- Enstrümantasyon: IAST, enstrümantasyon kullanır, yani sensörler veya izleme kodu, uygulamaya (genellikle bir QA veya sahneleme ortamında) gömülerek test sırasında davranışını gözlemler.
- İzleme: Veri akışını, kullanıcı girdisini ve kod davranışını gerçek zamanlı olarak, uygulama testler veya manuel eylemlerle çalıştırıldığında gözlemler.
- Tespit: Güvensiz yapılandırma, temizlenmemiş veri akışları veya enjeksiyon riskleri gibi güvenlik açıklarını işaretler.
- Raporlama: Tespit edilen sorunları ele almak için geliştiricilere eyleme geçirilebilir bulgular ve iyileştirme rehberliği sağlanır.
Örnek
Fonksiyonel testler sırasında, QA ekibi giriş formu ile etkileşime girer. IAST aracı, kullanıcı girdisinin temizlenmeden bir veritabanı sorgusuna aktığını tespit eder ve bu, potansiyel bir SQL enjeksiyonu riski olduğunu gösterir. Ekip, güvenlik sorunlarını düzeltmek için bir güvenlik açığı raporu ve eyleme geçirilebilir adımlar alır.
İlgili Terimler
- Dinamik Uygulama Güvenliği Testi (DAST)
- Statik Uygulama Güvenliği Testi (SAST)
- Yazılım Bileşimi Analizi (SCA)
- Uygulama Güvenliği Testi
- Uygulama Güvenliği
Sıkça Sorulan Sorular (SSS)
SAST, DAST ve IAST arasındaki ana fark nedir?
SAST statik kaynak kodunu analiz ederken, DAST çalışan bir uygulamayı dışarıdan (kara kutu) test eder, IAST ise uygulamanın içinden çalışır. IAST, kodun içine ajanlar veya sensörler yerleştirerek gerçek zamanlı yürütmeyi analiz eder ve SAST’ın kod seviyesindeki görünürlüğünü DAST’ın çalışma zamanı analizleriyle etkili bir şekilde birleştirir.
IAST, güvenlik testlerinde yanlış pozitifleri nasıl azaltır?
IAST, kod analizini gerçek çalışma zamanı davranışıyla ilişkilendirerek yanlış pozitifleri azaltır. SAST’ın teorik bir güvenlik açığını işaretleyebileceği, ancak aslında hiç çalıştırılmadığı durumların aksine, IAST belirli kod satırının gerçek uygulama kullanımı sırasında güvensiz bir şekilde tetiklenip işlenip işlenmediğini doğrular.
IAST genellikle SDLC’de nerede konuşlandırılır?
IAST, Kalite Güvencesi (QA) veya sahneleme ortamlarında dağıtıldığında en etkili şekilde çalışır. Kod yürütmeyi tetiklemek için işlevsel testlere güvendiğinden, uygulama üretime ulaşmadan önce otomatik test paketleri veya manuel test süreçleriyle sorunsuz bir şekilde çalışır.
IAST tüm kod tabanını otomatik olarak tarar mı?
Hayır. Her satır kodu okuyan statik analiz araçlarının aksine, IAST kapsamı işlevsel testlerinizin genişliğine bağlıdır. Test aşamasında çalıştırılan (çalıştırılan) uygulamanın yalnızca bölümlerini analiz eder. Bu nedenle, kapsamlı işlevsel testler kapsamlı güvenlik kapsamına yol açar.
IAST hangi tür güvenlik açıklarını tespit edebilir?
IAST, SQL Enjeksiyonu, Siteler Arası Betik Çalıştırma (XSS), güvensiz yapılandırmalar ve temizlenmemiş veri akışları gibi çalışma zamanı güvenlik açıklarını tespit etmede son derece etkilidir. Kullanıcı girdisinin uygulamanın iç mantığı ve veritabanı sorguları boyunca nasıl ilerlediğini izleyerek bu sorunları belirler.