Mitä on DAST (Dynamic Application Security Testing)?
Dynaaminen sovellusten tietoturvatestaus, eli DAST, on tapa tarkistaa sovelluksen tietoturva sen ollessa käynnissä. Toisin kuin SAST, joka tarkastelee lähdekoodia, DAST testaa tietoturvaa simuloimalla todellisia hyökkäyksiä kuten SQL Injection ja Cross-Site Scripting (XSS) reaaliaikaisessa ympäristössä.
DAST
kutsutaan usein Mustan laatikon testaukseksi, koska se suorittaa tietoturvatestin ulkopuolelta.Miksi DAST on tärkeä kyberturvallisuudessa
Jotkut tietoturvaongelmat ilmenevät vasta sovelluksen ollessa käynnissä, erityisesti ongelmat, jotka liittyvät suorituskykyyn, käyttäytymiseen tai käyttäjän validointiin. DAST auttaa organisaatioita:
- Löytämään tietoturvaongelmia, jotka jäävät SAST-työkalulta huomaamatta.
- Arvioimaan sovellusta todellisissa olosuhteissa, mukaan lukien käyttöliittymä ja API.
- Vahvistamaan sovelluksen tietoturvaa verkkosovellushyökkäyksiä vastaan.
Kuinka DAST toimii
- Suorita sovellus testaus- tai staging-ympäristössä.
- Lähetä haitallista tai odottamatonta syötettä (kuten muokattuja URL-osoitteita tai hyötykuormia).
- Analysoi sovelluksen vastaus haavoittuvuuksien havaitsemiseksi.
- Tuota raportteja korjausehdotuksilla (Plexicuksessa jopa parempaa, se automatisoi korjauksen).
Yleisiä haavoittuvuuksia, jotka DAST havaitsee
- SQL-injektio: hyökkääjät syöttävät haitallista SQL-koodia tietokantakyselyihin
- Cross-Site Scripting (XSS): haitallisia skriptejä injektoidaan verkkosivustoille, jotka suoritetaan käyttäjien selaimissa.
- Epävarmat palvelinkonfiguraatiot
- Rikkinäinen autentikointi tai istunnon hallinta
- Herkän datan paljastuminen virheilmoituksissa
DAST hyödyt
- kattaa tietoturvahaavoittuvuudet, jotka SAST-työkalut ovat jättäneet huomiotta
- Simuloi todellisia hyökkäyksiä.
- toimii ilman pääsyä lähdekoodiin
- tukee vaatimustenmukaisuutta kuten PCI DSS, HIPAA ja muita viitekehyksiä.
Esimerkki
DAST-skannauksessa työkalu löytää tietoturvaongelman kirjautumislomakkeesta, joka ei tarkista kunnolla käyttäjien syöttämää tietoa. Kun työkalu syöttää erityisesti suunnitellun SQL-komennon, se osoittaa, että verkkosivusto on haavoittuvainen SQL-injektiolle. Tämä havainto mahdollistaa kehittäjien korjata haavoittuvuuden ennen kuin sovellus menee tuotantoon.