Cos’è il DAST (Dynamic Application Security Testing)?
Il test dinamico della sicurezza delle applicazioni, o DAST, è un modo per verificare la sicurezza di un’applicazione mentre è in esecuzione. A differenza del SAST, che esamina il codice sorgente, il DAST testa la sicurezza simulando attacchi reali come SQL Injection e Cross-Site Scripting in un ambiente attivo.
Il DAST è spesso chiamato Black Box Testing poiché esegue un test di sicurezza dall’esterno.
Perché il DAST è importante nella sicurezza informatica
Alcuni problemi di sicurezza si manifestano solo quando l’applicazione è attiva, specialmente quelli legati al runtime, al comportamento o alla validazione dell’utente. Il DAST aiuta le organizzazioni a:
- Scoprire problemi di sicurezza che vengono trascurati dallo strumento SAST.
- Valutare l’applicazione in circostanze reali, inclusi front-end e API.
- Rafforzare la sicurezza delle applicazioni contro gli attacchi alle applicazioni web.
Come funziona il DAST
- Esegui l’applicazione nell’ambiente di test o staging.
- Invia input dannosi o inaspettati (come URL o payload appositamente creati)
- Analizza la risposta dell’applicazione per rilevare vulnerabilità.
- Produci report con suggerimenti di rimedio (in Plexicus, ancora meglio, automatizza il rimedio)
Vulnerabilità Comuni Rilevate da DAST
- SQL Injection: gli aggressori inseriscono codice SQL dannoso nelle query del database
- Cross-Site Scripting (XSS): script dannosi vengono iniettati nei siti web che vengono eseguiti nei browser degli utenti.
- Configurazioni del server non sicure
- Autenticazione o gestione delle sessioni compromesse
- Esposizione di dati sensibili nei messaggi di errore
Vantaggi di DAST
- copre le falle di sicurezza non rilevate dagli strumenti SAST
- Simula attacchi reali del mondo reale.
- funziona senza accesso al codice sorgente
- supporta la conformità come PCI DSS, HIPAA e altri framework.
Esempio
In una scansione DAST, lo strumento trova un problema di sicurezza in un modulo di login che non controlla adeguatamente ciò che gli utenti digitano. Quando lo strumento inserisce un comando SQL appositamente progettato, mostra che il sito web può essere attaccato tramite SQL injection. Questa scoperta consente agli sviluppatori di correggere la vulnerabilità prima che l’applicazione entri in produzione.