DAST (Dinamik Uygulama Güvenliği Testi), uygulamaların aktif çalışması sırasında güvenlik açıklarını tespit etmek amacıyla kullanılan bir test yöntemidir. DAST, uygulamanın kaynak kodunu incelemeden, çalışan ortamda dinamik olarak test yapar ve bu sayede uygulamanın dış yüzeyine saldırarak güvenlik açıklarını belirler. Bu yöntem, uygulamaların gerçek dünya saldırılarına nasıl yanıt verdiğini anlamak için kullanılır.
Gerçek dünya saldırılarını taklit ederek, uygulamaların çalışma anındaki güvenlik açıklarını tespit eder ve bu sayede uygulama güvenliğini arttırır. Diğer güvenlik test yöntemleriyle birlikte kullanıldığında, kapsamlı ve etkili bir güvenlik testi sağlar. DAST, özellikle sürekli entegrasyon ve sürekli dağıtım (CI/CD) süreçlerine entegre edildiğinde, uygulama güvenliğini otomatik ve sürekli bir şekilde sağlamak için ideal bir çözüm sunar.
Uygulamanın aktif olduğu anlarda test yapılır. Canlı bir ortamda uygulamanın gerçek kullanıcı işlemlerini ve etkileşimlerini gözlemlemesini sağlar.Uygulamanın kaynak koduna erişim olmadan güvenlik testleri yapılabilir. Bu özellikle üçüncü parti yazılımlar veya kaynak kodlarına erişim sağlanamayan modüller için önemlidir. DAST araçları, uygulamaya karşı çeşitli saldırı vektörleri kullanarak gerçek zamanlı saldırılar düzenler ve uygulamanın bu saldırılara nasıl tepki verdiğini inceler.
Piyasada birçok DAST aracı bulunmaktadır ve her biri farklı özellikler sunar.
Bu araçlar haricinde yerli ve yabancı bir çok araç ile bu testleri gerçekleştirmeniz mümkündür.
Genellikle statik analiz (SAST) ve manuel kod incelemeleri gibi diğer güvenlik test yöntemleriyle birlikte kullanıldığında daha etkili olur. SAST, uygulamanın kaynak kodunu analiz ederek güvenlik açıklarını tespit ederken, DAST uygulamanın çalışma anındaki güvenlik açıklarını belirler. Bu kombinasyon, hem kod seviyesindeki hem de çalışma anındaki güvenlik açıklarını tespit etmeyi sağlar. Örneğin, bir SAST aracı uygulamanın kaynak kodunda SQL enjeksiyonu riskini tespit ederken, DAST aracı bu riski uygulama çalışırken doğrulayabilir ve gerçek bir tehdit olup olmadığını belirleyebilir.
Kısaca kaynak koduna erişmeden, çalışan uygulamaya gerçek zamanlı saldırılar düzenleyerek güvenlik açıklarını belirler ve uygulamanın gerçek dünya saldırılarına karşı nasıl tepki verdiğini analiz eder.
DAST (Dynamic Application Security Testing) Nedir? - Yorumlar
Yapılan Yorumlar
BENZER İÇERİKLERİlginizi çekebilecek diğer içerikler
IAST ile Zafiyet İnceleme 17 Aralık 2024
RASP (Runtime Application Self-Protection) Nedir? 16 Aralık 2024
Broken Access Control 09 Aralık 2024
DevSecOps Nedir? 04 Aralık 2024
www.irfankocak.com
İrfan KOÇAK - Tüm Hakları Saklıdır