IAST (Etkileşimli Uygulama Güvenlik Testi) Nedir?
Etkileşimli Uygulama Güvenlik Testi (IAST), uygulama güvenlik açıklarını daha etkili bir şekilde bulmak için Statik Uygulama Güvenlik Testi (SAST) ve Dinamik Uygulama Güvenlik Testi (DAST) yöntemlerini birleştiren bir yöntemdir.
IAST özellikleri şunları içerir:
- IAST araçları, uygulama çalışırken içine sensörler veya izleme bileşenleri ekleyerek çalışır. Bu araçlar, testler otomatik veya insanlar tarafından yapılırken uygulamanın nasıl davrandığını izler. Bu yaklaşım, IAST’nin kod yürütmesini, kullanıcı girişlerini ve uygulamanın verileri nasıl işlediğini gerçek zamanlı olarak kontrol etmesine olanak tanır.
- IAST, tüm kod tabanını otomatik olarak taramaz; kapsamı, testler sırasında uygulamanın ne kadar geniş bir şekilde kullanıldığına bağlıdır. Test etkinliği ne kadar kapsamlı olursa, güvenlik açığı kapsamı o kadar derin olur.
- IAST genellikle otomatik veya manuel fonksiyonel testlerin yürütüldüğü QA veya hazırlık ortamlarında dağıtılır.
Siber Güvenlikte IAST’nin Önemi
SAST, uygulamayı çalıştırmadan kaynak kodu, bayt kodu veya ikili dosyaları analiz eder ve kodlama hatalarını ortaya çıkarmada son derece etkilidir, ancak yanlış pozitifler üretebilir ve çalışma zamanı ile ilgili sorunları kaçırabilir.
DAST, uygulamaları çalışırken dışarıdan test eder ve yalnızca çalışma zamanında ortaya çıkan sorunları açığa çıkarabilir, ancak iç mantık veya kod yapısına derinlemesine görünürlük sağlamaz. IAST, bu tekniklerin güçlü yönlerini birleştirerek aradaki boşluğu doldurur ve şunları sağlar:
- Güvenlik açığı kaynakları ve yolları hakkında daha derin içgörüler.
- Yalnızca SAST veya DAST’a kıyasla daha iyi tespit doğruluğu.
- Çalışma zamanı etkinliğini kod analiziyle ilişkilendirerek yanlış pozitiflerin azaltılması.
IAST Nasıl Çalışır
- Enstrümantasyon: IAST, enstrümantasyon kullanır, yani sensörler veya izleme kodları, uygulamanın davranışını test sırasında gözlemlemek için (genellikle bir QA veya hazırlık ortamında) uygulamaya gömülür.
- İzleme: Veri akışını, kullanıcı girişini ve kod davranışını, uygulama testler veya manuel eylemlerle çalıştırılırken gerçek zamanlı olarak izler.
- Tespit: Güvensiz yapılandırma, temizlenmemiş veri akışları veya enjeksiyon riskleri gibi güvenlik açıklarını işaretler.
- Raporlama: Tespit edilen sorunları ele almak için geliştiricilere eyleme geçirilebilir bulgular ve iyileştirme rehberliği sağlanır.
Örnek
Fonksiyonel testler sırasında, QA ekibi giriş formuyla etkileşime girer. IAST aracı, kullanıcı girdisinin temizlenmeden bir veritabanı sorgusuna aktığını tespit eder ve bu, potansiyel bir SQL enjeksiyonu riski olduğunu gösterir. Ekip, bir güvenlik açığı raporu ve güvenlik sorunlarını düzeltmek için eyleme geçirilebilir adımlar alır.