Qu’est-ce que le DAST (Dynamic Application Security Testing) ?
Le test de sécurité des applications dynamiques, ou DAST, est une méthode pour vérifier la sécurité d’une application pendant son exécution. Contrairement au SAST, qui examine le code source, le DAST teste la sécurité en simulant de véritables attaques comme l’injection SQL et le cross-site scripting dans un environnement réel.
Le DAST est souvent appelé test de boîte noire car il exécute un test de sécurité depuis l’extérieur.
Pourquoi le DAST est important en cybersécurité
Certains problèmes de sécurité n’apparaissent que lorsqu’une application est en cours d’exécution, en particulier ceux liés au runtime, au comportement ou à la validation utilisateur. Le DAST aide les organisations à :
- Découvrir les problèmes de sécurité qui sont manqués par l’outil SAST.
- Évaluer l’application dans des circonstances réelles, y compris le front-end et l’API.
- Renforcer la sécurité des applications contre les attaques des applications web.
Comment fonctionne le DAST
- Exécuter l’application dans l’environnement de test ou de préproduction.
- Envoyer des entrées malveillantes ou inattendues (comme des URL ou des charges utiles conçues).
- Analyser la réponse de l’application pour détecter les vulnérabilités.
- Produire des rapports avec des suggestions de remédiation (dans Plexicus, encore mieux, il automatise la remédiation).
Vulnérabilités courantes détectées par le DAST
- Injection SQL : les attaquants insèrent du code SQL malveillant dans les requêtes de base de données
- Cross-Site Scripting (XSS) : des scripts malveillants sont injectés dans des sites web qui s’exécutent dans les navigateurs des utilisateurs.
- Configurations de serveur non sécurisées
- Authentification ou gestion de session défaillante
- Exposition de données sensibles dans les messages d’erreur
Avantages du DAST
- couvrir les failles de sécurité ignorées par les outils SAST
- Simuler une attaque réelle.
- fonctionne sans accès au code source
- soutenir la conformité comme PCI DSS, HIPAA et d’autres cadres.
Exemple
Lors d’un scan DAST, l’outil trouve un problème de sécurité dans un formulaire de connexion qui ne vérifie pas correctement ce que les utilisateurs saisissent. Lorsque l’outil entre une commande SQL spécialement conçue, il montre que le site web peut être attaqué via une injection SQL. Cette découverte permet aux développeurs de corriger la vulnérabilité avant que l’application ne soit mise en production.