DAST (Dynamic Application Security Testing) Nedir?

Ana Sayfa » Application Security » DAST (Dynamic Application Security Testing) Nedir?

DAST (Dinamik Uygulama Güvenliği Testi), uygulamaların aktif çalışması sırasında güvenlik açıklarını tespit etmek amacıyla kullanılan bir test yöntemidir. DAST, uygulamanın kaynak kodunu incelemeden, çalışan ortamda dinamik olarak test yapar ve bu sayede uygulamanın dış yüzeyine saldırarak güvenlik açıklarını belirler. Bu yöntem, uygulamaların gerçek dünya saldırılarına nasıl yanıt verdiğini anlamak için kullanılır.

Gerçek dünya saldırılarını taklit ederek, uygulamaların çalışma anındaki güvenlik açıklarını tespit eder ve bu sayede uygulama güvenliğini arttırır. Diğer güvenlik test yöntemleriyle birlikte kullanıldığında, kapsamlı ve etkili bir güvenlik testi sağlar. DAST, özellikle sürekli entegrasyon ve sürekli dağıtım (CI/CD) süreçlerine entegre edildiğinde, uygulama güvenliğini otomatik ve sürekli bir şekilde sağlamak için ideal bir çözüm sunar.

DAST’ın Temel Özellikleri

Uygulamanın aktif olduğu anlarda test yapılır. Canlı bir ortamda uygulamanın gerçek kullanıcı işlemlerini ve etkileşimlerini gözlemlemesini sağlar.Uygulamanın kaynak koduna erişim olmadan güvenlik testleri yapılabilir. Bu özellikle üçüncü parti yazılımlar veya kaynak kodlarına erişim sağlanamayan modüller için önemlidir. DAST araçları, uygulamaya karşı çeşitli saldırı vektörleri kullanarak gerçek zamanlı saldırılar düzenler ve uygulamanın bu saldırılara nasıl tepki verdiğini inceler.

dast

DAST’ın Avantajları

  1. Gerçek Dünya Saldırılarını Taklit Eder: DAST, uygulamanın çalışma anındaki haliyle test edilmesi nedeniyle, saldırganların gerçek dünyada kullanabileceği yöntemleri simüle eder. Örneğin, SQL enjeksiyonu, XSS (Cross-Site Scripting) ve güvenli olmayan yönlendirmeler gibi yaygın saldırı tekniklerini dener.
  2. Geniş Kapsamlı Testler: Uygulamanın çeşitli yönlerini, özellikle web sunucuları ve API’ler gibi bileşenleri test edebilir. Bu, uygulamanın dışa açık tüm yüzeylerinin güvenlik açısından incelenmesini sağlar.
  3. Kolay Entegrasyon: DAST araçları, CI/CD (Continuous Integration/Continuous Deployment) süreçlerine kolayca entegre edilebilir. Bu sayede her yeni kod dağıtımında otomatik olarak güvenlik testleri yapılabilir ve potansiyel güvenlik açıkları erken aşamalarda tespit edilip düzeltilebilir.

dinamik uygulama güvenliği testi

En çok kullanılan DAST Araçları

Piyasada birçok DAST aracı bulunmaktadır ve her biri farklı özellikler sunar.

  1. OWASP ZAP (Zed Attack Proxy): OWASP tarafından geliştirilen bu açık kaynaklı araç, web uygulamalarını taramak ve güvenlik açıklarını tespit etmek için kullanılır. ZAP, geniş bir saldırı vektörü yelpazesi sunar ve kullanıcı dostu bir arayüze sahiptir.
  2. Burp Suite: Burp Suite, geniş bir güvenlik aracı yelpazesi sunan bir güvenlik testi platformudur. DAST için kullanılan Burp Suite, web uygulamalarını taramak, analiz etmek ve güvenlik açıklarını tespit etmek için gelişmiş araçlar sağlar.

Bu araçlar haricinde yerli ve yabancı bir çok araç ile bu testleri gerçekleştirmeniz mümkündür.

Genellikle statik analiz (SAST) ve manuel kod incelemeleri gibi diğer güvenlik test yöntemleriyle birlikte kullanıldığında daha etkili olur. SAST, uygulamanın kaynak kodunu analiz ederek güvenlik açıklarını tespit ederken, DAST uygulamanın çalışma anındaki güvenlik açıklarını belirler. Bu kombinasyon, hem kod seviyesindeki hem de çalışma anındaki güvenlik açıklarını tespit etmeyi sağlar. Örneğin, bir SAST aracı uygulamanın kaynak kodunda SQL enjeksiyonu riskini tespit ederken, DAST aracı bu riski uygulama çalışırken doğrulayabilir ve gerçek bir tehdit olup olmadığını belirleyebilir.

DAST ve SAST’ın Karşılaştırılması

  • DAST:
    • Avantajlar:
      • Gerçek dünya saldırılarını simüle eder.
      • Kod erişimi gerektirmez.
      • Çalışan uygulamalarda güvenlik açıklarını tespit eder.
    • Dezavantajlar:
      • Yalnızca çalışan uygulamalarda test yapılabilir.
      • Tespit edilen bazı güvenlik açıklarının kökenini belirlemek zor olabilir.
  • SAST:
    • Avantajlar:
      • Kaynak kodu analiz ederek güvenlik açıklarını erken aşamalarda tespit eder.
      • Kodun belirli bölümlerine odaklanarak detaylı analiz yapar.
    • Dezavantajlar:
      • Yalnızca kod erişimi olan projelerde kullanılabilir.
      • Gerçek dünya saldırılarını simüle etmez.

Kısaca kaynak koduna erişmeden, çalışan uygulamaya gerçek zamanlı saldırılar düzenleyerek güvenlik açıklarını belirler ve uygulamanın gerçek dünya saldırılarına karşı nasıl tepki verdiğini analiz eder.

DAST (Dynamic Application Security Testing) Nedir? - Yorumlar

YORUMLARINIZI PAYLAŞIN

 

Yapılan Yorumlar

BENZER İÇERİKLERİlginizi çekebilecek diğer içerikler

IAST ile Zafiyet İnceleme

IAST ile Zafiyet İnceleme 17 Aralık 2024

Broken Access Control

Broken Access Control 09 Aralık 2024

DevSecOps Nedir?

DevSecOps Nedir? 04 Aralık 2024

www.irfankocak.com

İrfan KOÇAK - Tüm Hakları Saklıdır