IAST (Etkileşimli Uygulama Güvenlik Testi) Nedir?
Etkileşimli Uygulama Güvenlik Testi (IAST), uygulama güvenlik açıklarını daha etkili bir şekilde bulmak için Statik Uygulama Güvenlik Testi (SAST) ve Dinamik Uygulama Güvenlik Testi (DAST) yöntemlerini birleştiren bir yöntemdir.
IAST özellikleri şunları içerir:
- IAST araçları, uygulama çalışırken içine sensörler veya izleme bileşenleri ekleyerek çalışır. Bu araçlar, testler otomatik veya insanlar tarafından yapılırken uygulamanın nasıl davrandığını izler. Bu yaklaşım, IAST’nin kod yürütmesini, kullanıcı girişlerini ve uygulamanın verileri nasıl işlediğini gerçek zamanlı olarak kontrol etmesine olanak tanır.
- IAST, tüm kod tabanını otomatik olarak taramaz; kapsamı, testler sırasında uygulamanın ne kadar geniş kapsamda kullanıldığına bağlıdır. Test etkinliği ne kadar kapsamlı olursa, güvenlik açığı kapsamı o kadar derin olur.
- IAST genellikle otomatik veya manuel işlevsel testlerin yapıldığı QA veya hazırlık ortamlarında dağıtılır.
Siber Güvenlikte IAST’nin Önemi
SAST, uygulamayı çalıştırmadan kaynak kodu, bayt kodu veya ikili dosyaları analiz eder ve kodlama hatalarını ortaya çıkarmada oldukça etkilidir, ancak yanlış pozitifler üretebilir ve çalışma zamanı ile ilgili sorunları kaçırabilir.
DAST, uygulamaları çalışırken dışarıdan test eder ve yalnızca çalışma zamanında ortaya çıkan sorunları açığa çıkarabilir, ancak iç mantık veya kod yapısına derinlemesine görünürlük sağlamaz. IAST, bu tekniklerin güçlü yönlerini birleştirerek aradaki boşluğu doldurur ve şunları sağlar:
- Güvenlik açığı kaynakları ve yolları hakkında daha derinlemesine bilgiler.
- Sadece SAST veya DAST’a kıyasla daha iyi tespit doğruluğu.
- Çalışma zamanı etkinliğini kod analiziyle ilişkilendirerek yanlış pozitiflerin azaltılması.
IAST Nasıl Çalışır
- Enstrümantasyon: IAST, enstrümantasyon kullanır, yani sensörler veya izleme kodları, uygulamaya (genellikle bir QA veya hazırlık ortamında) gömülerek test sırasında davranışını gözlemler.
- İzleme: Veri akışını, kullanıcı girişini ve kod davranışını, uygulamanın testler veya manuel işlemlerle çalıştırılması sırasında gerçek zamanlı olarak gözlemler.
- Tespit: Güvensiz yapılandırma, temizlenmemiş veri akışları veya enjeksiyon riskleri gibi güvenlik açıklarını işaretler.
- Raporlama: Tespit edilen sorunları ele almak için geliştiricilere uygulanabilir bulgular ve iyileştirme rehberliği sağlanır.
Örnek
Fonksiyonel testler sırasında, QA ekibi giriş formu ile etkileşime girer. IAST aracı, kullanıcı girdisinin temizlenmeden bir veritabanı sorgusuna aktığını tespit eder ve bu, potansiyel bir SQL enjeksiyonu riski olduğunu gösterir. Ekip, bir güvenlik açığı raporu ve güvenlik sorunlarını düzeltmek için uygulanabilir adımlar alır.
İlgili Terimler
- Dinamik Uygulama Güvenlik Testi (DAST)
- Statik Uygulama Güvenlik Testi (SAST)
- Yazılım Bileşimi Analizi (SCA)
- Uygulama Güvenlik Testi
- Uygulama Güvenliği
Sıkça Sorulan Sorular (SSS)
SAST, DAST ve IAST arasındaki ana fark nedir?
SAST statik kaynak kodunu analiz ederken, DAST çalışan bir uygulamayı dışarıdan (kara kutu) test eder. IAST ise uygulamanın içinden çalışır. IAST, kodun içine ajanlar veya sensörler yerleştirerek gerçek zamanlı olarak yürütmeyi analiz eder ve böylece SAST’ın kod düzeyindeki görünürlüğünü DAST’ın çalışma zamanı analiziyle etkili bir şekilde birleştirir.
IAST, güvenlik testlerinde yanlış pozitifleri nasıl azaltır?
IAST, kod analizini gerçek çalışma zamanı davranışıyla ilişkilendirerek yanlış pozitifleri azaltır. SAST’ın, aslında hiç çalışmayan teorik bir güvenlik açığını işaretleyebileceği durumların aksine, IAST belirli bir kod satırının gerçek uygulama kullanımı sırasında tetiklenip güvensiz bir şekilde işlendiğini doğrular.
IAST genellikle SDLC’nin hangi aşamasında konuşlandırılır?
IAST, Kalite Güvencesi (QA) veya hazırlık ortamlarında dağıtıldığında en etkili şekilde çalışır. Kod yürütmeyi tetiklemek için fonksiyonel testlere güvendiğinden, uygulama üretime ulaşmadan önce otomatik test paketleri veya manuel test süreçleri ile sorunsuz bir şekilde çalışır.
IAST tüm kod tabanını otomatik olarak tarar mı?
Hayır. Her satır kodu okuyan statik analiz araçlarının aksine, IAST kapsamı fonksiyonel testlerinizin genişliğine bağlıdır. Test aşamasında çalıştırılan (çalıştırılan) uygulamanın yalnızca test edilen kısımlarını analiz eder. Bu nedenle, kapsamlı fonksiyonel testler, kapsamlı güvenlik kapsamına yol açar.
IAST hangi tür güvenlik açıklarını tespit edebilir?
IAST, SQL Enjeksiyonu, Siteler Arası Komut Dosyası Çalıştırma (XSS), güvensiz yapılandırmalar ve temizlenmemiş veri akışları gibi çalışma zamanı güvenlik açıklarını tespit etmede son derece etkilidir. Kullanıcı girdisinin uygulamanın iç mantığı ve veritabanı sorguları boyunca nasıl ilerlediğini izleyerek bu sorunları tanımlar.