logo
Slovník Dynamic Application Security Testing (DAST)

Co je DAST (Dynamické testování bezpečnosti aplikací)?

Dynamické testování bezpečnosti aplikací, nebo DAST, je způsob, jak zkontrolovat bezpečnost aplikace, zatímco běží. Na rozdíl od SAST, který se zaměřuje na zdrojový kód, DAST testuje bezpečnost simulací reálných útoků jako SQL Injection a Cross-Site Scripting (XSS) v živém prostředí.

DAST je často označován jako Black Box Testing, protože provádí bezpečnostní test zvenčí.

Proč je DAST důležitý v kybernetické bezpečnosti

Některé bezpečnostní problémy se objeví pouze, když je aplikace živá, zejména problémy spojené s běhovým prostředím, chováním nebo validací uživatele. DAST pomáhá organizacím:

  • Objevit bezpečnostní problémy, které jsou přehlédnuty nástrojem SAST.
  • Hodnotit aplikaci v reálných podmínkách, včetně front-endu a API.
  • Posílit bezpečnost aplikace proti útokům na webové aplikace.

Jak DAST funguje

  • Spusťte aplikaci v testovacím nebo stagingovém prostředí.
  • Odešlete škodlivé nebo neočekávané vstupy (jako upravené URL nebo payloady).
  • Analyzujte reakci aplikace k detekci zranitelností.
  • Vytvářejte zprávy s návrhy na nápravu (v Plexicus dokonce automatizuje nápravu).

Běžné zranitelnosti detekované DAST

  • SQL Injection: útočníci vkládají škodlivý SQL kód do dotazů na databázi
  • Cross-Site Scripting (XSS): škodlivé skripty jsou vkládány do webových stránek, které se spouštějí v prohlížečích uživatelů.
  • Nezabezpečené konfigurace serveru
  • Nezabezpečené ověřování nebo správa relací
  • Zveřejnění citlivých dat ve chybových zprávách

Výhody DAST

  • pokrytí bezpečnostních chyb, které SAST nástroje přehlédnou
  • Simulace skutečného útoku.
  • funguje bez přístupu ke zdrojovému kódu
  • podpora souladu s normami jako PCI DSS, HIPAA a dalšími rámci.

Příklad

Při DAST skenování nástroj najde bezpečnostní problém ve formuláři pro přihlášení, který správně nekontroluje, co uživatelé zadávají. Když nástroj zadá speciálně navržený SQL příkaz, ukáže se, že webová stránka může být napadena prostřednictvím SQL injekce. Tento objev umožňuje vývojářům opravit zranitelnost předtím, než aplikace přejde do produkce.

Související termíny

Další kroky

Připraveni zabezpečit své aplikace? Vyberte si svou cestu vpřed.

Začít bezplatnou zkušební verzi

Vyzkoušejte Plexicus bez rizika po dobu 14 dnů

Zobrazit ceny

Transparentní ceny pro týmy všech velikostí

Připojte se ke komunitě

Připojte se k naší globální komunitě

Přečtěte si dokumentaci

Přečtěte si naši komplexní dokumentaci

Připojte se k více než 500 společnostem, které již zabezpečují své aplikace s Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready