Modern DAST’ın yeni tanımı
-
Hacking’in “Bitti” Sanıldığı Anlar
Yıl Yaygın Söylem Gerçek Değişim 2008‑e kadar “Web’i index’lerle dize getirdik.” SQLi, deface çağından mantıksal hatalara geçiş. 2010’lar başı Darknet & MSN: “Hack dönemi bitti.” Ajax, SPA ve mobil API’lerle yeni saldırı yüzeyi. 2025 sonrası “WAF, rate‑limit, framework var; DAST eski.” Mantıksal IDOR & iş akışı atlaması WAF’e görünmez.
Saldırı şekil değiştirir; dinamik test bunun temposuna ayak uydurur. Kaldı ki Sobele DAST ile en büyük e-ticaret websitelerinde(genellikle mağaza ürünlerinin görsel kısımlarında oluşan xss zafiyeti + ürünün reklam ile anasayfaya taşınması ile) tespit ettiği stored xss zafiyeti sayesinde anasayfayı deface edebilecek eşiğe çok kez ulaştı. Buradan bir kez daha hackin evrimleştiğini görmekteyiz. -
DAST’a Gölgede Kalan Önyargı
-
Yerinde sayan büyük oyuncular – 2010 öncesi AJAX desteklemeyen crawler neyse, bugün CAPTCHA geçemeyen ve IDOR bulamayan DAST motoru da o.
-
Yanlış pozitif korkusu – Bazı DAST araçları hatalı alarm vermemek için(exploit edemediği için false kabul eder) potansiyel açığı tamamen atlıyor. Özellikle SQLi zafiyetleri.
-
WAF ayarına muhtaç akış – CAPTCHA’yı manuel geçseniz bile gönderilen payload'lar WAF’e takılıyor; istisna kuralı gerektiriyor.
Sonuç: Sektörün bir kısmı “DAST eski” etiketini tüm çözümlere yapıştırıyor.
-
-
Sobele: DAST’ı Yeniden Tanımlayan Fark
Özellik Sektördeki Tipik Durum Sobele’nin Çözümü Captcha Crawler durur, tarama biter Captcha kendi iç yöntemlerimiz ile geçilir. WAF & Rate‑Limit Tek tip payload → 403 | çalakaşık saldırı → 429 SQL Injection bile bypass edilir. Dinamik rate limiting bypass ile taramaya devam edilir. IDOR türü zafiyetler Ancak manuel pentest ile mümkün varsayımı Yapay zekanın gücü ile sezgisel eşleştirme yaparak yetkisiz kaynak erişimini yakalar. Oturum Senaryosu Manuel yada http başlığı ile oturum yönetimi CTI ile sızmış kimlik bilgilerini bulur, login sayfasında otomatik deneyerek giriş yapar. (kullanıcının tercihine göre) Zafiyet Spektrumu 20 yıl önce ki zafiyet bulma yöntemleri Yüzlerce yeni nesil atak tanımları -
Saha Testi: 1 Saatte Perdeleri Kaldırmak
Hedef: Takımlara dağılmış 100+ siber güvenlik uzmanı, 7/24 NOC, Cloudflare Enterprise, 10 milyar dolarlık e‑ticaret devi
Koşul: %100 black‑box Sobele DAST taraması
Sonuç (59 dk):
5 adet kritik IDOR
2 adet stored XSS
1 adet dom XSS
Etkisi: Bulunan IDOR zafiyetleri sayesinde bireysel üyelerin sipariş geçmişi, maskeli kart bilgileri, milyarlarca fatura bilgisi erişilebilir hâle gelebilir, xss zafiyeti olan link üzerinden kullanıcıların kart bilgileri alınabilir yada tarayıcıları exploit edilebilirdi.
Tüm gelişmiş güvenlik önlemi, Sobele’nin tamamen otomatik taramasını ve güvenlik açıklarını bulmasını durduramadı.
Sobele'nin 5 adet tarama modu bulunmaktadır. BYPASS modu aktifken şüpheli hiçbir yük göndermez ama SQL Injection'ı exploit edebilir, db adını veya db versiyonunu kanıt olarak gösterir. Yüzlerce yerleşik proxy ve yüzlerce farklı hesap kullanarak inatçılığını ustaca gösterir. -
Neden Şimdi DAST?
CI/CD Dakikalara İndi – Build süresi manuel test süresi.
API Patlaması – Mikroservis her deploy’da yeni IDOR ihtimali.
Rate‑Limit Yanılsaması – Akıllı varyasyon “n/dk” kuralını deler.
Saldırgan Otomasyonu – Botnet’ler tarıyor; savunma da otomatikleşmeli.
WAF Kör Noktaları – Mantıksal akış hataları imza tabanlı filtreye görünmez.
Sobele, CAPTCHA & WAF engellerini aşıp gerçek hacker mantığını simüle ederek:
-
Eksik taramanın bıraktığı boşlukları doldurur.
-
Mantıksal zafiyetleri dakikalar içinde ortaya çıkarır.
-
Güvenlik ekibine yanlış pozitif yerine kanıtlı bulgular sunar.
Uygulamanız gerçekten ne kadar güvenli?
CI hattınıza Sobele’yi entegre edin, ilk taramada çıkan sonuçlarla tanışın.
Henüz yorum yok. İlk yorum yapan siz olun!