Mitä on DAST (Dynaaminen sovellusten tietoturvatestaus)?
Dynaaminen sovellusten tietoturvatestaus, eli DAST, on tapa tarkistaa sovelluksen tietoturva sen ollessa käynnissä. Toisin kuin SAST, joka tarkastelee lähdekoodia, DAST testaa tietoturvaa simuloimalla todellisia hyökkäyksiä, kuten SQL-injektioita ja Cross-Site Scriptingiä, reaaliaikaisessa ympäristössä.
DAST:ia kutsutaan usein Musta laatikko -testaukseksi, koska se suorittaa tietoturvatestin ulkopuolelta.
Miksi DAST on tärkeä kyberturvallisuudessa
Jotkut tietoturvaongelmat ilmenevät vasta, kun sovellus on käytössä, erityisesti ongelmat, jotka liittyvät ajonaikaiseen toimintaan, käyttäytymiseen tai käyttäjän validointiin. DAST auttaa organisaatioita:
- Löytämään tietoturvaongelmia, jotka SAST-työkalu jättää huomiotta.
- Arvioimaan sovellusta todellisissa olosuhteissa, mukaan lukien käyttöliittymä ja API.
- Vahvistamaan sovelluksen tietoturvaa verkkosovellushyökkäyksiä vastaan.
Kuinka DAST toimii
- Suorita sovellus testaus- tai välitysympäristössä.
- Lähetä haitallista tai odottamatonta syötettä (kuten muokattuja URL-osoitteita tai hyötykuormia)
- Analysoi sovelluksen vastaus haavoittuvuuksien havaitsemiseksi.
- Laadi raportteja korjausehdotuksilla (Plexicuksessa, vielä parempi, se automatisoi korjaukset)
DAST:n havaitsemat yleiset haavoittuvuudet
- SQL-injektio: hyökkääjät syöttävät haitallista SQL-koodia tietokantakyselyihin
- Cross-Site Scripting (XSS): haitallisia skriptejä injektoidaan verkkosivustoille, jotka suoritetaan käyttäjien selaimissa.
- Epävarmat palvelinasetukset
- Rikkinäinen todennus tai istunnon hallinta
- Herkkien tietojen paljastuminen virheilmoituksissa
DAST:n hyödyt
- kattaa SAST-työkalujen ohittamat tietoturvavirheet
- Simuloi todellisia hyökkäyksiä.
- toimii ilman pääsyä lähdekoodiin
- tukee vaatimustenmukaisuutta, kuten PCI DSS, HIPAA ja muut viitekehykset.
Esimerkki
DAST-skannauksessa työkalu löytää tietoturvaongelman kirjautumislomakkeessa, joka ei tarkista kunnolla käyttäjien syöttämiä tietoja. Kun työkalu syöttää erityisesti suunnitellun SQL-komennon, se osoittaa, että verkkosivustoa voidaan hyökätä SQL-injektion kautta. Tämä löytö mahdollistaa kehittäjien korjata haavoittuvuuden ennen kuin sovellus menee tuotantoon.