DAST Güvenlik Analizi

Çalışma Zamanı Güvenlik Testi

Canlı Uygulamalarınızı Saldırgan Gözüyle Test Edin:
DAST Güvenlik Analizi

Dynamic Application Security Testing (DAST)

DAST, web uygulamalarınızı ve API'lerinizi çalışır durumdayken dışarıdan test eder. Gerçek bir saldırganın bakış açısıyla, SQL Injection, XSS, Authentication Bypass gibi zafiyetleri tespit ederiz. Kaynak koda erişim gerekmez; black-box testing yaklaşımıyla uygulamanızın gerçek güvenlik duruşunu ortaya koyarız.

Ne Sunuyoruz? Süreç Nasıl İşler? Görüşme Planlayın

Ne Sunuyoruz? DAST Hizmet Kapsamı

DAST çalışmasını sadece "otomatik tarama" olarak değil; manuel doğrulama, iş mantığı testleri ve gerçekçi saldırı senaryolarıyla desteklenen kapsamlı bir güvenlik değerlendirmesi olarak sunuyoruz. Her bulgu kanıtlanmış (PoC) ve aksiyonlanabilir formatta raporlanır.

Web Uygulama Taraması

Geleneksel web uygulamaları, SPA (React, Angular, Vue), portal ve admin panelleri dahil tüm web varlıkları OWASP Top 10 ve ötesindeki zafiyetler için taranır. Otomatik crawler + manuel keşif kombinasyonu kullanılır.

API Güvenlik Testi

REST, GraphQL ve SOAP API'leri için özel test metodolojisi. Authentication/Authorization bypass, IDOR, Rate Limiting eksiklikleri, Mass Assignment ve API-specific zafiyetler test edilir.

Kimlik Doğrulama Testleri

Login bypass, brute force dayanıklılığı, session management, password policy, MFA bypass ve account takeover senaryoları test edilir. OAuth/OIDC implementasyonları özel olarak değerlendirilir.

Yetkilendirme Testleri

Yatay ve dikey yetki aşımı (privilege escalation), IDOR (Insecure Direct Object Reference), rol tabanlı erişim kontrolleri ve multi-tenant izolasyon zafiyetleri test edilir.

İş Mantığı Testleri

Otomatik araçların yakalayamadığı iş mantığı zafiyetleri manuel olarak test edilir: fiyat manipülasyonu, iş akışı bypass, race condition, negatif senaryo istismarları.

PoC ile Kanıtlama

Her bulgu için Proof of Concept (PoC) sunulur: HTTP request/response, screenshot, video veya script formatında. Yanlış pozitif riski minimize edilir, bulgular "kanıtlanmış" olarak raporlanır.

SQL Injection

Veritabanı sorgularının manipülasyonu

XSS

Cross-Site Scripting saldırıları

Auth Bypass

Kimlik doğrulama atlama

IDOR

Yetkisiz nesne erişimi

SSRF

Server-Side Request Forgery

CSRF

Cross-Site Request Forgery

Session Hijacking

Oturum ele geçirme

Info Disclosure

Hassas bilgi sızıntısı

Kimler İçin? Hedef Kitle ve Senaryolar

İnternete açık web uygulaması veya API'si olan her organizasyon potansiyel DAST adayıdır. Özellikle müşteri verisi işleyen, finansal işlem yapan veya regülasyona tabi sistemler için DAST kritik önem taşır.

E-ticaret platformları: Ödeme sistemleri, müşteri verileri ve sipariş süreçlerinin güvenliği kritik olan online mağazalar.
Finans ve bankacılık: Online bankacılık, ödeme gateway'leri, yatırım platformları ve fintech uygulamaları.
SaaS sağlayıcıları: Multi-tenant mimaride çalışan, müşteri verisi barındıran bulut uygulamaları.
Sağlık sektörü: Hasta verileri işleyen portal, randevu sistemleri ve sağlık uygulamaları (KVKK/HIPAA).
Kurumsal portallar: Çalışan self-servis, tedarikçi portalları, müşteri extranet sistemleri.

DAST Neden Vazgeçilmez?

SAST kaynak kodu analiz eder, ancak çalışma zamanı davranışlarını göremez. Konfigürasyon hataları, deployment sorunları, runtime-specific zafiyetler ve gerçek saldırı yüzeyini yalnızca DAST ortaya koyar. Bir uygulamanın "kodda güvenli" olması, "çalışırken güvenli" olduğu anlamına gelmez. DAST, uygulamanızın gerçek dünyada nasıl davrandığını test eder.

Süreç Nasıl İşler? Scan-to-Secure Pipeline

DAST'i "tek seferlik tarama" olarak değil; keşif, tarama, manuel doğrulama ve kapanış doğrulaması içeren yapılandırılmış bir süreç olarak ele alıyoruz. Her adım önceden tanımlı ve izlenebilir şekilde yürütülür.

Kapsam ve Planlama

Hedef URL'ler, test ortamı, kimlik doğrulama bilgileri, kısıtlamalar ve teslimat beklentileri netleştirilir. Üretim/staging ortam tercihi ve test penceresi belirlenir.

Keşif (Reconnaissance)

Uygulama yüzeyi haritalanır: endpoint'ler, parametreler, form'lar, API'ler, gizli dizinler. Teknoloji stack'i ve potansiyel saldırı vektörleri belirlenir.

Otomatik Tarama

Endüstri standardı araçlarla kapsamlı otomatik tarama yapılır. OWASP Top 10 ve ötesindeki zafiyet kategorileri sistematik şekilde test edilir.

Manuel Doğrulama

Otomatik bulgular manuel olarak doğrulanır, yanlış pozitifler elenir. İş mantığı testleri, authentication/authorization bypass denemeleri manuel olarak gerçekleştirilir.

Raporlama

Yönetici özeti ve teknik detay raporu üretilir. Her bulgu için PoC, risk değerlendirmesi, CVSS skoru ve düzeltme önerisi sunulur.

Re-test ve Kapanış

Düzeltmeler sonrası yeniden test yapılarak kapanış doğrulanır. Kalan riskler ve kabul edilen istisnalar dokümante edilir.

Authenticated vs Unauthenticated Test

Unauthenticated test: Anonim kullanıcı perspektifinden saldırı yüzeyi. Login bypass, public endpoint zafiyetleri. Authenticated test: Giriş yapılmış kullanıcı perspektifinden iç fonksiyonlar. Yetki aşımı, IDOR, iş mantığı zafiyetleri. Kapsamlı bir DAST çalışması her iki perspektifi de içermelidir.

Teslimatlar Kanıtlanmış ve Aksiyonlanabilir

Teslimat seti; teknik ekiplerin hızlı düzeltme yapmasına, yönetimin risk görünürlüğüne ve uyumluluk ekiplerinin denetim gereksinimlerine cevap verecek şekilde yapılandırılır.

Yönetici Özeti

Risk temalarının toplulaştırılması, kritik bulguların öne çıkarılması, genel güvenlik duruş değerlendirmesi. Teknik olmayan paydaşlar için anlaşılır format.

Teknik Detay Raporu

Bulgu bazlı detaylar: zafiyet açıklaması, etkilenen endpoint, HTTP request/response, CVSS skoru, PoC ve adım adım düzeltme önerisi.

Proof of Concept (PoC)

Her bulgu için istismar kanıtı: cURL komutları, Burp Suite request'leri, screenshot/video kayıtları. Yanlış pozitif riski minimize edilir.

Önceliklendirilmiş Bulgu Listesi

Risk seviyesi, istismar kolaylığı ve iş etkisine göre sıralanmış bulgular. Sprint planlamasına uygun, aksiyonlanabilir format.

Düzeltme Rehberi

Her zafiyet türü için genel düzeltme yaklaşımları, güvenli kodlama örnekleri ve referans kaynaklar. Geliştirici eğitimine katkı sağlar.

Re-test Raporu

Düzeltmeler sonrası yeniden test ve kapanış doğrulaması. Kapatılan, kalan ve kabul edilen riskler ayrı ayrı dokümante edilir.

Sıkça Sorulan Sorular DAST Hakkında

DAST'ın doğru konumlandırılması, beklentinin netleşmesiyle başlar. Aşağıdaki yanıtlar kurumların en sık netleştirdiği konuları ele alır.

DAST ile SAST arasındaki fark nedir?

SAST (Static) kaynak kodu analiz eder, uygulamayı çalıştırmaz. DAST (Dynamic) ise çalışan uygulamayı dışarıdan test eder, kaynak koda erişim gerekmez. SAST kodlama hatalarını, DAST çalışma zamanı zafiyetlerini bulur. Her iki yöntem birbirini tamamlar; kapsamlı güvenlik için ikisi de gereklidir.

DAST üretim ortamında mı yapılmalı?

Tercihen staging/test ortamında yapılır. Ancak staging ortamı üretimi tam yansıtmıyorsa, dikkatli planlama ile üretimde de yapılabilir. Agresif testler (DoS, brute force) staging'de, pasif testler üretimde gerçekleştirilebilir. Ortam seçimi risk ve kapsam değerlendirmesine bağlıdır.

DAST ne sıklıkla yapılmalı?

Minimum yılda bir kez kapsamlı DAST önerilir. Major release'lerden önce, önemli değişikliklerden sonra ve regülasyon gereksinimleri doğrultusunda tekrarlanmalıdır. Sürekli DAST (CI/CD entegrasyonu) olgunlaşmış organizasyonlar için idealdir.

DAST penetrasyon testinin yerini alır mı?

DAST ve penetrasyon testi örtüşen ancak farklı odakları olan testlerdir. DAST genellikle web uygulama katmanına odaklanırken, pentest daha geniş kapsamlı olabilir (network, social engineering vb.). DAST otomasyona daha uygunken, pentest daha fazla manuel uzmanlık gerektirir. İkisi birbirini tamamlar.

API'ler de DAST kapsamında test edilebilir mi?

Evet, modern DAST araçları REST, GraphQL ve SOAP API'leri test edebilir. OpenAPI/Swagger, Postman collection veya GraphQL schema kullanılarak API endpoint'leri sistematik şekilde taranır. OWASP API Security Top 10 zafiyetleri özel metodoloji ile test edilir.