Hva er DAST (Dynamisk Applikasjonssikkerhetstesting)?
Dynamisk applikasjonssikkerhetstesting, eller DAST, er en metode for å sjekke en applikasjons sikkerhet mens den kjører. I motsetning til SAST, som ser på kildekoden, tester DAST sikkerhet ved å simulere ekte angrep som SQL Injection og Cross-Site Scripting i en levende setting.
DAST blir ofte referert til som Black Box Testing siden det kjører en sikkerhetstest fra utsiden.
Hvorfor DAST er viktig i cybersikkerhet
Noen sikkerhetsproblemer dukker bare opp når applikasjonen er live, spesielt problemer knyttet til runtime, oppførsel eller brukervalidering. DAST hjelper organisasjoner med å:
- Oppdage sikkerhetsproblemer som blir oversett av SAST-verktøyet.
- Evaluere applikasjonen under virkelige forhold, inkludert front-end og API.
- Styrke applikasjonssikkerheten mot webapplikasjonsangrep.
Hvordan DAST fungerer
- Kjør applikasjonen i test- eller staging-miljøet.
- Send skadelig eller uventet input (som konstruerte URL-er eller nyttelaster)
- Analyser applikasjonsresponsen for å oppdage sårbarheter.
- Produser rapporter med forslag til utbedring (i Plexicus, enda bedre, det automatiserer utbedring)
Vanlige sårbarheter oppdaget av DAST
- SQL Injection: angripere setter inn skadelig SQL-kode i databaseforespørsler
- Cross-Site Scripting (XSS): skadelige skript injiseres i nettsteder som kjører i brukernes nettlesere.
- Usikre serverkonfigurasjoner
- Brutt autentisering eller sesjonsadministrasjon
- Eksponering av sensitiv data i feilmeldinger
Fordeler med DAST
- dekker sikkerhetsfeil som SAST-verktøy overser
- Simulerer reelle angrep.
- fungerer uten tilgang til kildekoden
- støtter samsvar som PCI DSS, HIPAA og andre rammeverk.
Eksempel
I en DAST-skanning finner verktøyet et sikkerhetsproblem i et innloggingsskjema som ikke sjekker ordentlig hva brukerne skriver inn. Når verktøyet skriver inn en spesielt utformet SQL-kommando, viser det at nettstedet kan angripes gjennom SQL-injeksjon. Denne oppdagelsen gjør det mulig for utviklere å fikse sårbarheten før applikasjonen går i produksjon.