StackHawk, AppSec tekliflerine İş Mantığı Testini (BLT) ekliyor. StackHawk’un BLT’si, güvenlik ihlallerinin %34’ünü oluşturan kritik yetkilendirme kusurlarının tespitini otomatikleştirir.
Bozuk nesne düzeyi yetkilendirme (BOLA) ve bozuk işlev düzeyi yetkilendirme (BFLA) gibi iş mantığı kusurları, Stackhawk’ın yeni BLT çözümünün doğrudan ele aldığı en önemli uygulama güvenliği sorunlarıdır. Bu kusurların belirlenmesi, uygulamaların aynı anda birden fazla kullanıcıyla çalıştırılmasının test edilmesini gerektirir; bu, SAST ve eski DAST araçlarında temel olarak eksik olan işlevselliktir.
Manuel penetrasyon testi, modern geliştirme hızıyla ölçeklenemeyen değerli bütçeyi ve dahili ekip zamanını tüketen AppSec ekipleri için tek seçenek olmuştur.
StackHawk İş Mantığı Testinin temel özellikleri:
- Çok kullanıcılı rol testi: Hem yatay yetkilendirmeyi (Kullanıcı A’nın B Kullanıcısının verilerine erişmesi) hem de dikey yetkilendirmeyi (yönetici işlevlerini gerçekleştiren normal kullanıcılar) değerlendirmek için birden fazla kullanıcı profili yapılandırarak BOLA ve BFLA güvenlik açıklarının tespit edilmesine olanak tanır.
- Bağlama duyarlı test düzenlemesi: Yetkilendirme sınırlarının geçerli olup olmadığını test etmek için kullanıcı profilleri arasındaki istekleri koordine ederek OpenAPI spesifikasyonlarından otomatik olarak akıllı test dizileri oluşturur; test akışlarının manuel olarak yapılandırılmasına gerek yoktur. StackHawk, API’lerinizin nasıl ilişkili olduğunu anlar: hangi sıra uç noktalarının çağrılması gerektiği, bir yanıttan hangi verilerin bir sonraki isteğe aktarılacağı ve bağlamsal olarak uygun test verilerinin nasıl oluşturulacağı.
- Şeffaf test dizileri: StackHawk platformundaki görselleştirilmiş test dizisi kanıtları, hangi rollerin uygulandığına, hangi parametrelerin çıkarılıp eklendiğine ve keşfedilen her iş mantığı kusuruna yol açan adımların tam zincirine ilişkin kapsamlı bir görünüm sağlar.
StackHawk CSO’su Scott Gerlach, “Yetkilendirme testinin otomatikleştirilmesinin çok zor olduğu biliniyor çünkü birden fazla kullanıcı oturumunun düzenlenmesini ve karmaşık API ilişkilerinin anlaşılmasını gerektiriyor” dedi.
Gerlach sözlerini şöyle tamamladı: “Çoğu kuruluşun hala pahalı ve zaman alıcı olan manuel sızma testine güvenmesinin nedeni budur. Ancak artık ekipler, çok kullanıcılı testleri otomatik olarak çalıştırmak ve iş mantığı kusurlarını bulmak için bağlama duyarlı düzenlemeden yararlanmak için StackHawk’un BLT çözümünü kullanabilir.”