DAST (Dinamik Uygulama Güvenliği Testi) Nedir?
Dinamik uygulama güvenliği testi veya DAST, bir uygulamanın güvenliğini çalışırken kontrol etmenin bir yoludur. SAST’tan farklı olarak, kaynak kodu inceleyen DAST, gerçek saldırıları simüle ederek güvenliği test eder, örneğin SQL Enjeksiyonu ve Siteler Arası Betik Çalıştırma (XSS) gibi canlı bir ortamda.
DAST genellikle Kara Kutu Testi olarak adlandırılır çünkü dışarıdan bir güvenlik testi yürütür.
Siber Güvenlikte DAST Neden Önemlidir
Bazı güvenlik sorunları yalnızca canlı olduğunda ortaya çıkar, özellikle çalışma zamanı, davranış veya kullanıcı doğrulaması ile ilgili olanlar. DAST, kuruluşlara şunları sağlar:
- SAST aracı tarafından kaçırılan güvenlik sorunlarını keşfetme.
- Uygulamayı gerçek dünya koşullarında değerlendirme, ön yüz ve API dahil.
- Web uygulama saldırılarına karşı uygulama güvenliğini güçlendirme.
DAST Nasıl Çalışır
- Uygulamayı test veya sahneleme ortamında çalıştırın.
- Kötü niyetli veya beklenmedik girdiler gönderin (özel URL’ler veya yükler gibi)
- Güvenlik açıklarını tespit etmek için uygulama yanıtını analiz edin.
- İyileştirme önerileri içeren raporlar üretin (Plexicus’ta, hatta daha iyi, iyileştirmeyi otomatikleştirir)
DAST Tarafından Tespit Edilen Yaygın Güvenlik Açıkları
- SQL Enjeksiyonu: saldırganlar, veritabanı sorgularına kötü amaçlı SQL kodu ekler
- Siteler Arası Komut Dosyası Çalıştırma (XSS): kötü amaçlı komut dosyaları, kullanıcıların tarayıcılarında çalışacak şekilde web sitelerine enjekte edilir.
- Güvensiz sunucu yapılandırmaları
- Bozuk kimlik doğrulama veya oturum yönetimi
- Hata mesajlarında hassas verilerin ifşası
DAST’nin Faydaları
- SAST araçları tarafından gözden kaçırılan güvenlik açıklarını kapsar
- Gerçek dünya saldırılarını simüle eder.
- Kaynak koda erişim olmadan çalışır
- PCI DSS, HIPAA ve diğer çerçeveler gibi uyumluluğu destekler.
Örnek
Bir DAST taramasında, araç, kullanıcıların yazdıklarını düzgün bir şekilde kontrol etmeyen bir giriş formunda bir güvenlik sorunu bulur. Araç, özel olarak tasarlanmış bir SQL komutunu girdiğinde, web sitesinin SQL enjeksiyonu yoluyla saldırıya uğrayabileceğini gösterir. Bu keşif, geliştiricilerin uygulama üretime geçmeden önce güvenlik açığını düzeltmelerini sağlar.