Anahtar Teknoloji Genel Bakışı

Black-box Uygulama Güvenliği Testi

Black-box güvenlik analizi sırasında sadece istemci tarafı kodu kullanılabilir. Sunucu tarafını analiz etmek, yalnızca arayüz uç noktalarıyla etkileşim kurarak mümkündür.

Black-box zayıf nokta testi genellikle üç aşamadan oluşur:

Saldırı Yüzeyi Numaralandırma: Mevcut sunucu tarafı uç noktalarını (API uç noktalarını) arama;

Bulunan uç noktalara saldırı vektörleri ile istek gönderme;

Sonuçları analiz etme.

Gelişmiş Güvenlik Bilincine Sahip Tarama

Gelişmiş tarama teknolojimiz, özellikle tüm mevcut sunucu tarafı uç noktalarını otomatik olarak keşfetmek üzere tasarlanmıştır ve böylece ilk aşamayı ele almaktadır.

Black-box ortamında sunucu HTTP uç noktalarını keşfetmenin birkaç yolu vardır:

Bunlar arasında, istemci tarafından hangi isteklerin gönderilebileceğini belirleyerek bunları çıkarabiliriz;

Sunucuda çalışan yazılımı parmak izleyerek ve daha önce bilinen özel uç noktaları kullanarak (örneğin, bilinen WordPress uç noktaları gibi) bunları çıkarabiliriz;

Sunucuyu bir sözlük kullanarak isteklerle test ederek ve yanıtları analiz ederek, "dirbusting" olarak bilinen teknikle çıkarabiliriz.

API numaralandırması için JavaScript statik analiz

Gelişmiş tarama teknolojimiz, başsız tarayıcı ile daha geleneksel dinamik taramaya ve güvenlik bilinci ile yapılan statik taramaya ek olarak, istemci tarafı kodunun statik analizini kullanır.

Statik analiz teknolojimiz, web uygulama güvenliği taraması amacıyla istemci tarafı JS kodundan sunucu uç noktalarını çıkartırken karmaşık değer ve kod yolları analizi yapar.

Gelişmiş Tarama

Gelişmiş tarama teknolojimizle şunları yapabiliriz:

Ölü, ulaşılamaz veya yorumlanmış istemci kodundan sunucu uç noktalarını tespit edin.

Sadece yetkilendirilmiş istemci alanı veya yönetici alanı için etkin olan istemci kodundan sunucu uç noktalarını tespit edin.

OpenAPI/Swagger API belirlemelerini ve uç noktalar hakkında diğer bilgi kaynaklarını analiz ve tarama için başlangıç noktası olarak kullanın.

Bu, piyasada bulunan en iyi saldırı yüzeyi numaralandırmasını sağlar.

Geleneksel dinamik taramanın düşüşleri

Uç noktaları arama sürecinin en önemli kalite metriği tamamlanmışlıktır.

Genel olarak, dirbusting ve parmak izleme, özellikle standart olmayan, özel yazılı yazılımlar için tüm uç noktaları belirleyemez.

Black-box bir tarama aracının yeterli uç nokta kapsamını elde etmek için istemci tarafından sunucu uç noktalarını çıkartabilme yeteneği son derece önemlidir.

Dinamik Tarama

Dynamic crawling is automated interaction with web page interface elements using a headless browser, simulating user actions and observing the requests being sent to server.

Dinamik tarama, başsız bir tarayıcı kullanarak web sayfası arayüz öğeleri ile otomatik etkileşimi içerir; kullanıcı eylemlerini simüle eder ve sunucuya gönderilen istekleri gözlemlemektedir.

Dinamik tarama genellikle iyi çalışsa da, bazı durumlarda bazı uç noktaları keşfedememe riski bulunmaktadır. Arayüz bazen tamamen taranamayacak kadar karmaşık olabilir. Tüm olası kullanıcı eylemleri zaman açısından fazla gerektirebilir. Bu tür durumlarda tarayıcı, muhtemelen bazı uç noktaları atlayarak tamamlanmadan durabilir.

Ayrıca, bazen bir uç noktaya erişen JS kodunu kullanıcı arayüzünden hiç tetiklemek mümkün olamaz - bu esasen ölü kod anlamına gelir. Bu tür kod hala tarama aracı için ilgi çeker ve sunucunun çalışan bölümlerine erişebilir. Bu tür uç noktalara "gizli uç noktalar" diyoruz.