logo

Command Palette

Search for a command to run...
Glossario Dynamic Application Security Testing (DAST)

Cos’è DAST (Dynamic Application Security Testing)?

Il Dynamic Application Security Testing, o DAST, è un modo per verificare la sicurezza di un’applicazione mentre è in esecuzione. A differenza del SAST, che analizza il codice sorgente, il DAST testa la sicurezza simulando attacchi reali come SQL Injection e Cross-Site Scripting in un ambiente attivo.

Il DAST è spesso definito come Black Box Testing poiché esegue un test di sicurezza dall’esterno.

Perché il DAST è importante nella sicurezza informatica

Alcuni problemi di sicurezza compaiono solo quando l’applicazione è attiva, specialmente quelli legati al runtime, al comportamento o alla validazione dell’utente. Il DAST aiuta le organizzazioni a:

  • Scoprire problemi di sicurezza che vengono trascurati dallo strumento SAST.
  • Valutare l’applicazione in circostanze reali, inclusi front-end e API.
  • Rafforzare la sicurezza dell’applicazione contro gli attacchi alle applicazioni web.

Come funziona il DAST

  • Esegui l’applicazione nell’ambiente di test o staging.
  • Invia input dannosi o inaspettati (come URL o payload creati ad hoc)
  • Analizza la risposta dell’applicazione per rilevare vulnerabilità.
  • Produci rapporti con suggerimenti di rimedio (in Plexicus, ancora meglio, automatizza rimedi)

Vulnerabilità Comuni Rilevate da DAST

  • SQL Injection: gli attaccanti inseriscono codice SQL dannoso nelle query del database
  • Cross-Site Scripting (XSS): script dannosi vengono iniettati nei siti web che si eseguono nei browser degli utenti.
  • Configurazioni del server non sicure
  • Autenticazione o gestione delle sessioni compromesse
  • Esposizione di dati sensibili nei messaggi di errore

Vantaggi di DAST

  • copre difetti di sicurezza non rilevati dagli strumenti SAST
  • Simula attacchi reali.
  • funziona senza accesso al codice sorgente
  • supporta la conformità come PCI DSS, HIPAA e altri framework.

Esempio

In una scansione DAST, lo strumento trova un problema di sicurezza in un modulo di login che non controlla correttamente ciò che gli utenti digitano. Quando lo strumento inserisce un comando SQL appositamente progettato, mostra che il sito web può essere attaccato tramite SQL injection. Questa scoperta consente agli sviluppatori di correggere la vulnerabilità prima che l’applicazione entri in produzione.

Termini Correlati

  • SAST (Static Application Security Testing)
  • IAST (Interactive Application Security Testing)
  • SCA (Software Composition Analysis)
  • OWASP Top 10
  • Application Security Testing

Prossimi Passi

Pronto a proteggere le tue applicazioni? Scegli il tuo percorso.

Inizia la Prova Gratuita

Prova Plexicus senza rischi per 14 giorni

Visualizza Prezzi

Prezzi trasparenti per team di tutte le dimensioni

Join Community

Unisciti alla nostra comunità globale

Read Documentation

Leggi la nostra documentazione completa

Unisciti a oltre 500 aziende che già proteggono le loro applicazioni con Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready