מהו DAST (בדיקת אבטחת יישומים דינמית)?
בדיקת אבטחת יישומים דינמית, או DAST, היא דרך לבדוק את אבטחת היישום בזמן שהוא פועל. בניגוד ל-SAST, שמסתכל על קוד המקור, DAST בודק אבטחה על ידי סימולציה של התקפות אמיתיות כמו הזרקת SQL ו-Scripting בין אתרים בסביבה חיה.
DAST מכונה לעיתים קרובות בדיקת קופסה שחורה מכיוון שהיא מבצעת בדיקת אבטחה מבחוץ.
למה DAST חשוב באבטחת סייבר
חלק מבעיות האבטחה מופיעות רק כשהיישום חי, במיוחד בעיות הקשורות לזמן ריצה, התנהגות או אימות משתמש. DAST עוזר לארגונים ל:
- לגלות בעיות אבטחה שהוחמצו על ידי כלי SAST.
- להעריך את היישום בתנאים אמיתיים, כולל חזית ואפליקציות API.
- לחזק את אבטחת היישום נגד התקפות יישומי אינטרנט.
איך DAST עובד
- הפעל את היישום בסביבת בדיקה או שלב.
- שלח קלט זדוני או בלתי צפוי (כמו כתובות URL או מטענים מעוצבים)
- נתח את תגובת היישום כדי לזהות פגיעויות.
- הפק דוחות עם הצעות לתיקון (ב-Plexicus, אפילו טוב יותר, זה אוטומטי תיקון)
פגיעויות נפוצות שמזוהות על ידי DAST
- הזרקת SQL: תוקפים מכניסים קוד SQL זדוני לשאילתות בסיס נתונים
- Cross-Site Scripting (XSS): סקריפטים זדוניים מוזרקים לאתרים ומבוצעים בדפדפנים של משתמשים.
- תצורות שרת לא מאובטחות
- אימות או ניהול מושבים שבורים
- חשיפת נתונים רגישים בהודעות שגיאה
יתרונות של DAST
- מכסה פגמי אבטחה שהוחמצו על ידי כלי SAST
- סימולציה של התקפה אמיתית בעולם האמיתי.
- עובד ללא גישה לקוד המקור
- תומך בעמידה בדרישות כמו PCI DSS, HIPAA ומסגרות אחרות.
דוגמה
בסריקת DAST, הכלי מוצא בעיית אבטחה בטופס כניסה שאינו בודק כראוי מה המשתמשים מקלידים. כאשר הכלי מזין פקודת SQL מעוצבת במיוחד, הוא מראה שניתן לתקוף את האתר באמצעות הזרקת SQL. גילוי זה מאפשר למפתחים לתקן את הפגיעות לפני שהיישום נכנס לייצור.