Dastardly, kuruluşların web uygulamalarını etkili bir şekilde korumalarına yardımcı olmak için geliştirilmiş güçlü bir web güvenlik açığı DAST (Dinamik Uygulama Güvenliği Testi) tarayıcısıdır.
Burp Suite’in yapımcılarından CI/CD ardışık düzeniniz için ücretsiz, hafif bir web uygulaması güvenlik tarayıcısıdır.
Özellikle güvenlik mühendisleri için tasarlanmıştır ve yazılım geliştirmede sıklıkla karşılaşılan yedi güvenlik açığını tarar.
PortSwigger’ın sürüm notlarına göre Dastardly 2023.10 sürümü, Dastardly tarayıcısına yönelik çeşitli yükseltmeleri içeriyor. Ayrıca Dastardly’nin Chromium tarayıcısına yönelik bir yükseltme de içerir.
Dastardly 2023.10’daki Yenilikler Neler?
- Dastardly artık iframe tarafından oluşturulan sorguları kontrol ediyor.
- YAML API tanımları üzerinden tarama yapar.
- Dastardly şimdi değişken giriş alanlarını tarıyor. Bu, tek sayfalı uygulamalar için tarama kapsamını artırır.
- Tıklanabilen tüm öğeleri inceler. Geleneksel olmayan gezinme öğelerini kullanan tek sayfalı uygulamalar için tarama kapsamı geliştirilmelidir.
- Brotli sıkıştırılmış HTTP mesajlarını kabul eder.
- Dastardly, taramadan önce bir sayfanın sabitlenmesini beklerken daha az zaman harcayacak şekilde ayarlandı.
Dastardly’nin çevresel değişkenleri değiştirildi:
- DASTARDLY_OUTPUT_FILE artık BURP_REPORT_FILE_PATH
- DASTARDLY_TARGET_URL artık BURP_START_URL oldu
Hata düzeltmeleri:
Sürüm notlarına göre Dastardly’nin bazı durumlarda konumları hatalı şekilde birleştirmesine neden olan sorun düzeltildi. Sonuç olarak tespit edilen yerlerin sayısı artabilir.
Tarayıcı Yükseltmesi:
Dastardly’nin yerleşik Chromium tarayıcısı Windows ve Linux için 115.0.5790.110’a ve Mac için 115.0.5790.114’e kadar.
DAST Metodolojisiyle Tarama
Hedef web uygulamanızı DAST yaklaşımını kullanarak korkutucu bir şekilde tarar. Dinamik uygulama güvenlik testi (DAST), bir web uygulamasının güvenliğini dışarıdan inceler.
DAST, güvenlik testçisinin bir uygulamanın dahili işleyişinden habersiz olmasını zorunlu kılar. Testi yapan kişi mecazi “kutunun” içini göremediği için bu test yaklaşımına “kara kutu” adı verilir. Amacı gerçek bir saldırıyı taklit etmektir.
Dolayısıyla bu, hedef uygulamanızın konuşlandırılan durumunu taradığını gösterir. Tarama yaparken taramak istediğiniz çekirdek URL’yi Dastardly’ye verin.
Dastardly tarafından taranan hedef web uygulaması çekirdek URL’de başlar. Bundan sonra Dastardly, çekirdek URL’nin altındaki hiyerarşide bulunan tüm URL’leri arar.
DAST hem otomatik hem de manuel yöntemleri kapsayacak kadar kapsamlıdır. Gerekli olan tek şey, değerlendirdiğiniz sistemler hakkında içeriden herhangi bir bilgiye sahip olmamanızdır.
Korkunç taramaların maksimum çalışma süresi on dakikadır. Bu, daha büyük veya daha karmaşık web uygulamalarını taramak için yeterli zaman olmayabilir.
Dastardly, boyutu veya karmaşıklığı nedeniyle uygulamanızı yeterince tarayamıyorsa Burp Suite Enterprise Edition taraması daha iyi bir seçenek olabilir.
Dastardly, sonuçları hakkında bir JUnit XML raporu oluşturur. Bu bölüm, tarama sırasında keşfedilen tüm güvenlik açıklarının bir listesini içerir.
“Uygulamanızı güvende tutmaya yardımcı olmak için Dastardly, DÜŞÜK, ORTA veya YÜKSEK önem düzeyine sahip herhangi bir güvenlik açığı tespit ederse yapınızda başarısız olur. Şirket, INFO önem düzeyine sahip güvenlik açıklarının derleme hatasını tetiklemediğini açıkladı.
PortSwigger, Dastardly ile uygulamaları tararken karşılaşabileceğiniz her türlü sorunla ilgili yardım sunar.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.