Qu’est-ce que le DAST (Dynamic Application Security Testing) ?
Le test de sécurité des applications dynamiques, ou DAST, est une méthode pour vérifier la sécurité d’une application pendant qu’elle est en cours d’exécution. Contrairement au SAST, qui examine le code source, le DAST teste la sécurité en simulant de véritables attaques comme l’injection SQL et le cross-site scripting dans un environnement en direct.
Le DAST est souvent appelé test de boîte noire car il exécute un test de sécurité de l’extérieur.
Pourquoi le DAST est important en cybersécurité
Certains problèmes de sécurité n’apparaissent que lorsqu’une application est en direct, en particulier ceux liés à l’exécution, au comportement ou à la validation des utilisateurs. Le DAST aide les organisations à :
- Découvrir les problèmes de sécurité qui sont manqués par l’outil SAST.
- Évaluer l’application dans des circonstances réelles, y compris le front-end et l’API.
- Renforcer la sécurité des applications contre les attaques des applications web.
Comment fonctionne le DAST
- Exécutez l’application dans l’environnement de test ou de mise en scène.
- Envoyez des entrées malveillantes ou inattendues (comme des URL ou des charges utiles conçues)
- Analysez la réponse de l’application pour détecter les vulnérabilités.
- Produisez des rapports avec des suggestions de remédiation (dans Plexicus, encore mieux, cela automatise la remédiation)
Vulnérabilités Courantes Détectées par DAST
- Injection SQL : les attaquants insèrent du code SQL malveillant dans les requêtes de base de données
- Cross-Site Scripting (XSS) : des scripts malveillants sont injectés dans des sites web qui s’exécutent dans les navigateurs des utilisateurs.
- Configurations de serveur non sécurisées
- Authentification ou gestion de session défaillante
- Exposition de données sensibles dans les messages d’erreur
Avantages de DAST
- couvre les failles de sécurité manquées par les outils SAST
- Simule une attaque réelle du monde réel.
- fonctionne sans accès au code source
- soutient la conformité comme PCI DSS, HIPAA, et d’autres cadres.
Exemple
Dans une analyse DAST, l’outil détecte un problème de sécurité dans un formulaire de connexion qui ne vérifie pas correctement ce que les utilisateurs saisissent. Lorsque l’outil entre une commande SQL spécialement conçue, il montre que le site web peut être attaqué par injection SQL. Cette découverte permet aux développeurs de corriger la vulnérabilité avant que l’application ne soit mise en production.