מהו DAST (בדיקות אבטחת יישומים דינמיות)?
בדיקות אבטחת יישומים דינמיות, או DAST, הן דרך לבדוק את אבטחת היישום בזמן שהוא פועל. בניגוד ל-SAST, שבודק את קוד המקור, DAST בודק את האבטחה על ידי סימולציה של התקפות אמיתיות כמו הזרקת SQL ו-Cross-Site Scripting (XSS) בסביבה חיה.
DAST מכונה לעיתים קרובות בדיקות קופסה שחורה מכיוון שהוא מריץ בדיקת אבטחה מבחוץ.
למה DAST חשוב באבטחת סייבר
חלק מבעיות האבטחה מופיעות רק כשהיישום פועל, במיוחד בעיות הקשורות לזמן ריצה, התנהגות או אימות משתמש. DAST עוזר לארגונים ל:
- לגלות בעיות אבטחה שהוחמצו על ידי כלי SAST.
- להעריך את היישום בתנאים אמיתיים, כולל ממשק משתמש ו-API
- לחזק את אבטחת היישום נגד התקפות על יישומי אינטרנט.
איך DAST עובד
- להריץ את היישום בסביבת בדיקה או שלב.
- לשלוח קלט זדוני או בלתי צפוי (כמו כתובות URL או מטענים מעוצבים)
- לנתח את תגובת היישום כדי לזהות פגיעויות.
- להפיק דוחות עם הצעות לתיקון (ב-Plexicus, אפילו טוב יותר, זה אוטומטי תיקון)
פגיעויות נפוצות שמתגלות על ידי DAST
- הזרקת SQL: תוקפים מחדירים קוד SQL זדוני לתוך שאילתות מסד נתונים
- סקריפטים בין-אתריים (XSS): סקריפטים זדוניים מוזרקים לאתרים ומבוצעים בדפדפנים של המשתמשים.
- תצורות שרת לא מאובטחות
- אימות או ניהול מושבים שבורים
- חשיפת נתונים רגישים בהודעות שגיאה
יתרונות של DAST
- מכסה פגמי אבטחה שהוחמצו על ידי כלים של SAST
- מדמה התקפה בעולם האמיתי.
- פועל ללא גישה לקוד המקור
- תומך בציות כמו PCI DSS, HIPAA ומסגרות אחרות.
דוגמה
בבדיקת DAST, הכלי מוצא בעיית אבטחה בטופס התחברות שלא בודק כראוי מה המשתמשים מקלידים. כאשר הכלי מזין פקודת SQL מעוצבת במיוחד, הוא מראה שניתן לתקוף את האתר דרך הזרקת SQL. גילוי זה מאפשר למפתחים לתקן את הפגיעות לפני שהיישום נכנס לייצור.