מהו DAST (בדיקת אבטחת יישומים דינמית)?
בדיקת אבטחת יישומים דינמית, או DAST, היא דרך לבדוק את אבטחת היישום בזמן שהוא פועל. בניגוד ל-SAST, שבודק את קוד המקור, DAST בודק אבטחה על ידי סימולציה של התקפות אמיתיות כמו SQL Injection ו-Cross-Site Scripting בסביבה חיה.
DAST מכונה לעיתים קרובות בדיקת קופסה שחורה מכיוון שהוא מבצע בדיקת אבטחה מבחוץ.
מדוע DAST חשוב באבטחת סייבר
חלק מבעיות האבטחה מופיעות רק כשהיישום חי, במיוחד בעיות הקשורות לזמן ריצה, התנהגות או אימות משתמש. DAST עוזר לארגונים ל:
- לגלות בעיות אבטחה שהוחמצו על ידי כלי SAST.
- להעריך את היישום בתנאים אמיתיים, כולל חזית ו-API.
- לחזק את אבטחת היישום נגד התקפות יישומי אינטרנט.
איך DAST עובד
- הפעל את היישום בסביבת בדיקה או שלב.
- שלח קלט זדוני או בלתי צפוי (כמו כתובות URL או מטענים מעוצבים)
- נתח את תגובת היישום כדי לזהות פגיעויות.
- הפק דוחות עם הצעות תיקון (ב-Plexicus, אפילו טוב יותר, זה אוטומטי תיקון)
פגיעויות נפוצות שמזוהות על ידי DAST
- הזרקת SQL: תוקפים מכניסים קוד SQL זדוני לשאילתות מסד נתונים
- Cross-Site Scripting (XSS): סקריפטים זדוניים מוזרקים לאתרים שמבוצעים בדפדפנים של משתמשים.
- תצורות שרת לא מאובטחות
- אימות או ניהול מושבים שבורים
- חשיפת נתונים רגישים בהודעות שגיאה
יתרונות של DAST
- מכסה פגמי אבטחה שהוחמצו על ידי כלי SAST
- מדמה התקפה בעולם האמיתי.
- עובד ללא גישה לקוד המקור
- תומך בציות כמו PCI DSS, HIPAA, ומסגרות אחרות.
דוגמה
בסריקת DAST, הכלי מוצא בעיית אבטחה בטופס התחברות שאינו בודק כראוי את מה שהמשתמשים מקלידים. כאשר הכלי מזין פקודת SQL מעוצבת במיוחד, הוא מראה שניתן לתקוף את האתר באמצעות הזרקת SQL. גילוי זה מאפשר למפתחים לתקן את הפגיעות לפני שהיישום נכנס לייצור.
מונחים קשורים
- SAST (בדיקת אבטחת יישומים סטטית)
- IAST (בדיקת אבטחת יישומים אינטראקטיבית)
- SCA (ניתוח הרכב תוכנה)
- OWASP Top 10
- בדיקת אבטחת יישומים