Cos’è DAST (Dynamic Application Security Testing) ?
Il test dinamico della sicurezza delle applicazioni, o DAST, è un modo per verificare la sicurezza di un’applicazione mentre è in esecuzione. A differenza di SAST, che esamina il codice sorgente, DAST testa la sicurezza simulando attacchi reali come SQL Injection e Cross-Site Scripting (XSS) in un ambiente live.
DAST è spesso definito come Black Box Testing poiché esegue un test di sicurezza dall’esterno.
Perché DAST è importante nella cybersecurity
Alcuni problemi di sicurezza appaiono solo quando l’applicazione è live, specialmente quelli legati al runtime, al comportamento o alla validazione dell’utente. DAST aiuta le organizzazioni a:
- Scoprire problemi di sicurezza che vengono trascurati dallo strumento SAST.
- Valutare l’applicazione in circostanze reali, inclusi front-end e API.
- Rafforzare la sicurezza dell’applicazione contro gli attacchi alle applicazioni web.
Come funziona DAST
- Eseguire l’applicazione nell’ambiente di test o staging.
- Inviare input dannosi o inaspettati (come URL o payload appositamente creati).
- Analizzare la risposta dell’applicazione per rilevare vulnerabilità.
- Produrre report con suggerimenti di rimedio (in Plexicus, ancora meglio, automatizza il rimedio).
Vulnerabilità comuni rilevate da DAST
- SQL Injection: gli aggressori inseriscono codice SQL dannoso nelle query del database
- Cross-Site Scripting (XSS): script dannosi vengono iniettati nei siti web che vengono eseguiti nei browser degli utenti.
- Configurazioni server insicure
- Autenticazione o gestione delle sessioni compromesse
- Esposizione di dati sensibili nei messaggi di errore
Vantaggi del DAST
- copre le falle di sicurezza non rilevate dagli strumenti SAST
- Simula attacchi reali del mondo reale.
- funziona senza accesso al codice sorgente
- supporta la conformità come PCI DSS, HIPAA e altri framework.
Esempio
In una scansione DAST, lo strumento trova un problema di sicurezza in un modulo di login che non verifica correttamente ciò che gli utenti digitano. Quando lo strumento inserisce un comando SQL appositamente progettato, mostra che il sito web può essere attaccato tramite SQL injection. Questa scoperta consente agli sviluppatori di correggere la vulnerabilità prima che l’applicazione entri in produzione.