Was ist DAST (Dynamic Application Security Testing)?
Dynamic Application Security Testing, oder DAST, ist eine Methode, um die Sicherheit einer Anwendung während ihres Betriebs zu überprüfen. Im Gegensatz zu SAST, das den Quellcode untersucht, testet DAST die Sicherheit, indem es reale Angriffe wie SQL-Injection und Cross-Site-Scripting in einer Live-Umgebung simuliert.
DAST wird oft als Black-Box-Testing bezeichnet, da es einen Sicherheitstest von außen durchführt.
Warum DAST in der Cybersicherheit wichtig ist
Einige Sicherheitsprobleme treten erst auf, wenn die Anwendung live ist, insbesondere Probleme, die mit Laufzeit, Verhalten oder Benutzerüberprüfung zusammenhängen. DAST hilft Organisationen dabei:
- Sicherheitsprobleme zu entdecken, die vom SAST-Tool übersehen werden.
- Die Anwendung unter realen Bedingungen zu evaluieren, einschließlich Front-End und API.
- Die Anwendungssicherheit gegen Webanwendungsangriffe zu stärken.
Wie DAST funktioniert
- Führen Sie die Anwendung in der Test- oder Staging-Umgebung aus.
- Senden Sie bösartige oder unerwartete Eingaben (wie manipulierte URLs oder Payloads)
- Analysieren Sie die Anwendungsantwort, um Schwachstellen zu erkennen.
- Erstellen Sie Berichte mit Vorschlägen zur Behebung (in Plexicus, noch besser, es automatisiert die Behebung)
Häufig von DAST erkannte Schwachstellen
- SQL-Injection: Angreifer fügen bösartigen SQL-Code in Datenbankabfragen ein
- Cross-Site Scripting (XSS): Bösartige Skripte werden in Websites injiziert, die in den Browsern der Benutzer ausgeführt werden.
- Unsichere Serverkonfigurationen
- Fehlerhafte Authentifizierung oder Sitzungsverwaltung
- Offenlegung sensibler Daten in Fehlermeldungen
Vorteile von DAST
- Deckt Sicherheitslücken ab, die von SAST-Tools übersehen werden
- Simuliert reale Angriffe.
- Funktioniert ohne Zugriff auf den Quellcode
- Unterstützt die Einhaltung von Vorschriften wie PCI DSS, HIPAA und anderen Rahmenwerken.
Beispiel
In einem DAST-Scan findet das Tool ein Sicherheitsproblem in einem Anmeldeformular, das nicht ordnungsgemäß überprüft, was Benutzer eingeben. Wenn das Tool einen speziell gestalteten SQL-Befehl eingibt, zeigt es, dass die Website durch SQL-Injection angegriffen werden kann. Diese Entdeckung ermöglicht es Entwicklern, die Schwachstelle zu beheben, bevor die Anwendung in die Produktion geht.