logo

Command Palette

Search for a command to run...
Glossar Dynamic Application Security Testing (DAST)

Was ist DAST (Dynamic Application Security Testing)?

Dynamic Application Security Testing, oder DAST, ist eine Methode zur Überprüfung der Sicherheit einer Anwendung, während sie läuft. Im Gegensatz zu SAST, das den Quellcode betrachtet, testet DAST die Sicherheit, indem es reale Angriffe wie SQL-Injection und Cross-Site-Scripting in einer Live-Umgebung simuliert.

DAST wird oft als Black-Box-Testing bezeichnet, da es einen Sicherheitstest von außen durchführt.

Warum DAST in der Cybersicherheit wichtig ist

Einige Sicherheitsprobleme treten nur auf, wenn die Anwendung live ist, insbesondere Probleme im Zusammenhang mit Laufzeit, Verhalten oder Benutzervalidierung. DAST hilft Organisationen dabei:

  • Sicherheitsprobleme zu entdecken, die vom SAST-Tool übersehen werden.
  • Die Anwendung unter realen Bedingungen zu bewerten, einschließlich Frontend und API.
  • Die Sicherheit der Anwendung gegen Webanwendungsangriffe zu stärken.

Wie DAST funktioniert

  • Führen Sie die Anwendung in der Test- oder Staging-Umgebung aus.
  • Senden Sie bösartige oder unerwartete Eingaben (wie manipulierte URLs oder Payloads)
  • Analysieren Sie die Antwort der Anwendung, um Schwachstellen zu erkennen.
  • Erstellen Sie Berichte mit Vorschlägen zur Behebung (in Plexicus, noch besser, es automatisiert Behebungen)

Häufige Schwachstellen, die durch DAST erkannt werden

  • SQL-Injection: Angreifer fügen bösartigen SQL-Code in Datenbankabfragen ein
  • Cross-Site-Scripting (XSS): Bösartige Skripte werden in Websites injiziert, die im Browser der Benutzer ausgeführt werden.
  • Unsichere Serverkonfigurationen
  • Fehlerhafte Authentifizierung oder Sitzungsverwaltung
  • Offenlegung sensibler Daten in Fehlermeldungen

Vorteile von DAST

  • Deckt Sicherheitslücken ab, die von SAST-Tools übersehen werden
  • Simuliert reale Angriffe.
  • Funktioniert ohne Zugriff auf den Quellcode
  • Unterstützt die Einhaltung von Vorschriften wie PCI DSS, HIPAA und anderen Rahmenwerken.

Beispiel

In einem DAST-Scan findet das Tool ein Sicherheitsproblem in einem Anmeldeformular, das nicht richtig überprüft, was Benutzer eingeben. Wenn das Tool einen speziell gestalteten SQL-Befehl eingibt, zeigt es, dass die Website durch SQL-Injection angegriffen werden kann. Diese Entdeckung ermöglicht es Entwicklern, die Schwachstelle zu beheben, bevor die Anwendung in die Produktion geht.

Verwandte Begriffe

  • SAST (Static Application Security Testing)
  • IAST (Interactive Application Security Testing)
  • SCA (Software Composition Analysis)
  • OWASP Top 10
  • Anwendungssicherheitstests

Nächste Schritte

Bereit, Ihre Anwendungen zu sichern? Wählen Sie Ihren weiteren Weg.

Kostenlose Testversion starten

Probieren Sie Plexicus 14 Tage lang risikofrei aus

Preise anzeigen

Transparente Preisgestaltung für Teams jeder Größe

Community beitreten

Treten Sie unserer globalen Community bei

Dokumentation lesen

Lesen Sie unsere umfassende Dokumentation

Schließen Sie sich über 500 Unternehmen an, die ihre Anwendungen bereits mit Plexicus sichern

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready