logo

Command Palette

Search for a command to run...
Sanasto Dynamic Application Security Testing (DAST)

Mikä on DAST (Dynamic Application Security Testing)?

Dynaaminen sovellusten tietoturvatestaus, eli DAST, on tapa tarkistaa sovelluksen tietoturva sen ollessa käynnissä. Toisin kuin SAST, joka tarkastelee lähdekoodia, DAST testaa tietoturvaa simuloimalla todellisia hyökkäyksiä, kuten SQL-injektioita ja Cross-Site Scriptingiä, reaaliaikaisessa ympäristössä.

DAST:ia kutsutaan usein Mustan laatikon testaukseksi, koska se suorittaa tietoturvatestin ulkopuolelta.

Miksi DAST on tärkeä kyberturvallisuudessa

Jotkut tietoturvaongelmat ilmenevät vasta sovelluksen ollessa käynnissä, erityisesti ongelmat, jotka liittyvät suorituskykyyn, käyttäytymiseen tai käyttäjän validointiin. DAST auttaa organisaatioita:

  • Löytämään tietoturvaongelmia, jotka SAST-työkalu jättää huomiotta.
  • Arvioimaan sovellusta todellisissa olosuhteissa, mukaan lukien käyttöliittymä ja API.
  • Vahvistamaan sovelluksen tietoturvaa verkkosovellushyökkäyksiä vastaan.

Kuinka DAST toimii

  • Suorita sovellus testaus- tai staging-ympäristössä.
  • Lähetä haitallista tai odottamatonta syötettä (kuten muokattuja URL-osoitteita tai hyötykuormia)
  • Analysoi sovelluksen vastaus haavoittuvuuksien havaitsemiseksi.
  • Tuota raportteja korjausehdotuksilla (Plexicusissa, vielä parempi, se automatisoi korjauksen)

Yleiset DAST:n havaitsemat haavoittuvuudet

  • SQL-injektio: hyökkääjät lisäävät haitallista SQL-koodia tietokantakyselyihin
  • Cross-Site Scripting (XSS): haitallisia skriptejä injektoidaan verkkosivustoihin, jotka suoritetaan käyttäjien selaimissa.
  • Epävarmat palvelinkonfiguraatiot
  • Rikkinäinen autentikointi tai istunnon hallinta
  • Herkän datan paljastuminen virheilmoituksissa

DAST:n edut

  • kattaa SAST-työkalujen ohittamat tietoturvavirheet
  • Simuloi todellisia hyökkäyksiä.
  • toimii ilman pääsyä lähdekoodiin
  • tukee vaatimustenmukaisuutta kuten PCI DSS, HIPAA ja muita viitekehyksiä.

Esimerkki

DAST-skannauksessa työkalu löytää tietoturvaongelman kirjautumislomakkeessa, joka ei tarkista kunnolla käyttäjien syöttämiä tietoja. Kun työkalu syöttää erityisesti suunnitellun SQL-komennon, se osoittaa, että verkkosivustoa voidaan hyökätä SQL-injektion kautta. Tämä löytö mahdollistaa kehittäjien korjata haavoittuvuuden ennen kuin sovellus menee tuotantoon.

Liittyvät termit

  • SAST (Static Application Security Testing)
  • IAST (Interactive Application Security Testing)
  • SCA (Software Composition Analysis)
  • OWASP Top 10
  • Sovellusten tietoturvatestaus

Seuraavat askeleet

Valmis turvaamaan sovelluksesi? Valitse polkusi eteenpäin.

Aloita ilmainen kokeilu

Kokeile Plexicusta riskittömästi 14 päivän ajan

Näytä hinnoittelu

Läpinäkyvä hinnoittelu kaikenkokoisille tiimeille

Liity yhteisöön

Liity globaaliin yhteisöömme

Lue dokumentaatio

Lue kattava dokumentaatiomme

Liity yli 500 yritykseen, jotka jo turvaavat sovelluksensa Plexicuksen avulla

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready