Dinamik uygulama güvenliği testi - Dynamic application security testing

Bir dinamik uygulama güvenliği test (DAST) aracı web uygulaması ve mimari zayıflıkları potansiyel güvenlik açıklarını tespit etmek için web arabirimi yoluyla bir web uygulaması ile iletişim kuran bir programdır. Bu gerçekleştirir kara kutu testi. Statik uygulama güvenliği test araçlarının aksine , DAST araçlarının kaynak koda erişimi yoktur ve bu nedenle saldırıları fiilen gerçekleştirerek güvenlik açıklarını tespit eder .

DAST araçları, ana bilgisayar adı, tarama parametreleri ve kimlik doğrulama bilgileriyle yapılandırıldıktan sonra minimum kullanıcı etkileşimi ile güvenlik açıklarını tespit ederek gelişmiş taramalara izin verir. Bu araçlar, sorgu dizelerindeki, başlıklardaki, parçalardaki, fiillerdeki (GET / POST / PUT) ve DOM enjeksiyonundaki güvenlik açıklarını tespit etmeye çalışacaktır.

Müşteriler, bu uygulamaların rahatlığından yararlanırken, web uygulamalarında depolanan özel bilgilerin bilgisayar korsanlarının saldırıları ve içeriden sızıntılar nedeniyle tehlikeye girme riskini üstlenirler. Privacy Rights Clearinghouse'a göre, kurumsal veriler ve web uygulamaları üzerindeki yetersiz güvenlik kontrolleri nedeniyle 2012 yılında 18 milyondan fazla müşteri kaydı ele geçirildi.

Genel Bakış

DAST araçları, açık bir şekilde güvenlik açıklarını keşfetme amacıyla bir web uygulamasının otomatik olarak incelenmesini kolaylaştırır ve çeşitli yasal gerekliliklere uymaları gerekir. Web uygulaması tarayıcıları, girdi / çıktı doğrulama: (örneğin, siteler arası komut dosyası oluşturma ve SQL enjeksiyonu ), belirli uygulama sorunları ve sunucu yapılandırma hataları gibi çok çeşitli güvenlik açıklarını arayabilir .

Güvenlik satıcısı Cenzic tarafından Mart 2012'de yayınlanan telif hakkıyla korunan bir raporda, yakın zamanda test edilen uygulamalardaki en yaygın uygulama güvenlik açıkları şunları içerir:

% 37 Siteler arası komut dosyası oluşturma
% 16 SQL enjeksiyonu
% 5 Yol açıklaması
% 5 Hizmet reddi
% 4 Kod yürütme
% 4 Bellek bozulması
% 4 Siteler arası istek sahteciliği
% 3 Bilgi ifşası
% 3 Keyfi dosya
% 2 Yerel dosya dahil etme
% 1 Uzaktan dosya dahil etme
% 1 Arabellek taşması
% 15 Diğer ( PHP enjeksiyonu , Javascript enjeksiyonu vb.)

Ticari ve açık kaynaklı tarayıcılar

Ticari tarayıcılar, belirli bir fiyatla (genellikle oldukça yüksek) satın alınması gereken bir web değerlendirme araçları kategorisidir. Bazı tarayıcılar bazı ücretsiz özellikler içerir, ancak çoğu aracın gücüne tam erişim için satın alınması gerekir.

Ve açık kaynaklı tarayıcılar, doğası gereği özgür olan başka bir sınıftır. Kaynak kodları açık olduğundan ve kullanıcı ticari tarayıcıların aksine ne olduğunu öğrendiğinden, kategorinin en iyisidir.

Güvenlik araştırmacısı Shay Chen, daha önce hem ticari hem de açık kaynaklı web uygulaması güvenlik tarayıcılarının kapsamlı bir listesini derlemişti. Liste ayrıca, WAVSEP ile karşılaştırmalı testleri sırasında tarayıcıların her birinin nasıl performans gösterdiğini de vurgulamaktadır.

WAVSEP platformu halka açıktır ve web uygulama tarayıcılarının çeşitli yönlerini değerlendirmek için kullanılabilir: teknoloji desteği, performans, doğruluk, kapsam ve sonuç tutarlılığı.

DAST güçleri

Bu araçlar, gönderilmeden önce nihai sürüm aday sürümlerindeki güvenlik açıklarını tespit edebilir . Tarayıcılar, saldırarak ve araştırarak kötü niyetli bir kullanıcıyı simüle eder, beklenen sonuç kümesinin parçası olmayan sonuçları tespit eder ve gerçekçi bir saldırı simülasyonuna olanak tanır. Bu tür araçların en büyük avantajı, yıl boyunca sürekli olarak güvenlik açıklarını aramak için tarama yapabilmeleridir. Düzenli olarak keşfedilen yeni güvenlik açıkları ile bu, şirketlerin güvenlik açıklarını kötüye kullanılmadan önce bulmasına ve yamalamasına olanak tanır.

Dinamik bir test aracı olarak web tarayıcıları dile bağlı değildir. Bir web uygulaması tarayıcısı, motorlu web uygulamalarını tarayabilir. Saldırganlar aynı araçları kullanır, dolayısıyla araçlar bir güvenlik açığı bulabilirse saldırganlar da kullanabilir.

DAST zayıf yönleri

Bir DAST aracı ile tarama yaparken, verilerin üzerine yazılabilir veya konu sitesine kötü niyetli yükler enjekte edilebilir. Üretim ortamındaki verileri korurken doğru sonuçlar elde etmek için sahalar üretim benzeri ancak üretim dışı bir ortamda taranmalıdır.

Araç dinamik bir test yöntemi uyguladığından, uygulamanın kaynak kodunun% 100'ünü ve ardından uygulamanın kendisini kapsayamaz. Sızma testi yapan kişi , aracın doğru yapılandırılıp yapılandırılmadığını veya web uygulamasını anlayıp anlayamadığını bilmek için web uygulamasının veya saldırı yüzeyinin kapsamına bakmalıdır .

Araç, belirli bir güvenlik açığı için tüm saldırı çeşitlerini uygulayamaz. Bu nedenle, araçların genellikle önceden tanımlanmış bir saldırı listesi vardır ve test edilen web uygulamasına bağlı olarak saldırı yüklerini oluşturmazlar. Bazı araçlar, JavaScript ve Flash gibi dinamik içeriğe sahip uygulamaların davranışını anlamada da oldukça sınırlıdır .

2012 tarihli bir raporda, çoğu Web uygulaması tarayıcısı tarafından gözden kaçan en iyi uygulama teknolojilerinin JSON ( jQuery gibi ), REST ve AJAX uygulamalarında Google WebToolkit , Flash Remoting (AMF) ve HTML5 ile mobil uygulamalar ve Web Hizmetlerini içerdiği bulundu. JSON ve REST. Web hizmetlerinde kullanılan XML-RPC ve SOAP teknolojileri ve alışveriş sepeti ve XSRF / CSRF belirteçleri gibi karmaşık iş akışları .

Referanslar

Dış bağlantılar