Apa itu DAST (Dynamic Application Security Testing) ?
Dynamic application security testing, atau DAST, adalah cara untuk memeriksa keamanan aplikasi saat sedang berjalan. Berbeda dengan SAST, yang melihat kode sumber, DAST menguji keamanan dengan mensimulasikan serangan nyata seperti SQL Injection dan Cross-Site Scripting dalam pengaturan langsung.
DAST sering disebut sebagai Black Box Testing karena menjalankan tes keamanan dari luar.
Mengapa DAST Penting dalam Keamanan Siber
Beberapa masalah keamanan hanya muncul saat aplikasi berjalan, terutama masalah yang terkait dengan runtime, perilaku, atau validasi pengguna. DAST membantu organisasi untuk:
- Menemukan masalah keamanan yang terlewatkan oleh alat SAST.
- Mengevaluasi aplikasi dalam keadaan dunia nyata, termasuk front-end dan API
- Memperkuat keamanan aplikasi terhadap serangan aplikasi web.
Cara Kerja DAST
- Jalankan aplikasi di lingkungan pengujian atau staging.
- Kirim input yang berbahaya atau tidak terduga (seperti URL atau payload yang dibuat)
- Analisis respons aplikasi untuk mendeteksi kerentanan.
- Buat laporan dengan saran perbaikan (di Plexicus, bahkan lebih baik, ini mengotomatisasi perbaikan)
Kerentanan Umum yang Terdeteksi oleh DAST
- SQL Injection: penyerang memasukkan kode SQL berbahaya ke dalam kueri basis data
- Cross-Site Scripting (XSS): skrip berbahaya disuntikkan ke dalam situs web yang dieksekusi di browser pengguna.
- Konfigurasi server yang tidak aman
- Autentikasi atau manajemen sesi yang rusak
- Paparan data sensitif dalam pesan kesalahan
Manfaat DAST
- menutupi kekurangan keamanan yang terlewatkan oleh alat SAST
- Mensimulasikan serangan dunia nyata.
- bekerja tanpa akses ke kode sumber
- mendukung kepatuhan seperti PCI DSS, HIPAA, dan kerangka kerja lainnya.
Contoh
Dalam pemindaian DAST, alat menemukan masalah keamanan dalam formulir login yang tidak memeriksa dengan benar apa yang diketik pengguna. Ketika alat tersebut memasukkan perintah SQL yang dirancang khusus, hal itu menunjukkan bahwa situs web dapat diserang melalui injeksi SQL. Penemuan ini memungkinkan pengembang untuk memperbaiki kerentanan sebelum aplikasi masuk ke produksi.