Hvad er DAST (Dynamisk Applikationssikkerhedstestning)?
Dynamisk applikationssikkerhedstestning, eller DAST, er en måde at kontrollere en applikations sikkerhed, mens den kører. I modsætning til SAST, som ser på kildekoden, tester DAST sikkerheden ved at simulere reelle angreb som SQL Injection og Cross-Site Scripting i et live miljø.
DAST kaldes ofte Black Box Testing, da det udfører en sikkerhedstest udefra.
Hvorfor DAST er vigtigt i cybersikkerhed
Nogle sikkerhedsproblemer opstår kun, når applikationen er live, især problemer knyttet til runtime, adfærd eller brugervalidering. DAST hjælper organisationer med at:
- Opdage sikkerhedsproblemer, der overses af SAST-værktøjet.
- Evaluere applikationen under virkelige omstændigheder, inklusive front-end og API.
- Styrke applikationssikkerheden mod webapplikationsangreb.
Hvordan DAST fungerer
- Kør applikationen i test- eller staging-miljøet.
- Send ondsindet eller uventet input (som konstruerede URL’er eller payloads)
- Analyser applikationens respons for at opdage sårbarheder.
- Udarbejd rapporter med forslag til afhjælpning (i Plexicus, endnu bedre, det automatiserer afhjælpning)
Almindelige sårbarheder opdaget af DAST
- SQL Injection: angribere indsætter ondsindet SQL-kode i databaseforespørgsler
- Cross-Site Scripting (XSS): ondsindede scripts injiceres i websites, der udføres i brugernes browsere.
- Usikre serverkonfigurationer
- Brudt autentificering eller session management
- Eksponering af følsomme data i fejlmeddelelser
Fordele ved DAST
- dækker sikkerhedsfejl, der overses af SAST-værktøjer
- Simulerer virkelige angreb.
- fungerer uden adgang til kildekoden
- understøtter overholdelse som PCI DSS, HIPAA og andre rammer.
Eksempel
I en DAST-scanning finder værktøjet et sikkerhedsproblem i en loginformular, der ikke korrekt kontrollerer, hvad brugerne indtaster. Når værktøjet indtaster en specielt designet SQL-kommando, viser det, at hjemmesiden kan angribes gennem SQL-injektion. Denne opdagelse gør det muligt for udviklere at rette sårbarheden, før applikationen går i produktion.