Hva er DAST (Dynamisk Applikasjonssikkerhetstesting)?
Dynamisk applikasjonssikkerhetstesting, eller DAST, er en metode for å sjekke en applikasjons sikkerhet mens den kjører. I motsetning til SAST, som ser på kildekoden, tester DAST sikkerhet ved å simulere reelle angrep som SQL Injection og Cross-Site Scripting (XSS) i et levende miljø.
DAST blir ofte referert til som Black Box Testing siden det kjører en sikkerhetstest fra utsiden.
Hvorfor DAST er viktig i cybersikkerhet
Noen sikkerhetsproblemer vises bare når applikasjonen er live, spesielt problemer knyttet til kjøretid, atferd eller brukervalidisering. DAST hjelper organisasjoner med å:
- Oppdage sikkerhetsproblemer som blir oversett av SAST-verktøyet.
- Evaluere applikasjonen under reelle omstendigheter, inkludert front-end og API.
- Styrke applikasjonssikkerheten mot webapplikasjonsangrep.
Hvordan DAST fungerer
- Kjør applikasjonen i test- eller staging-miljøet.
- Send ondsinnet eller uventet input (som konstruerte URL-er eller nyttelaster).
- Analyser applikasjonens respons for å oppdage sårbarheter.
- Produser rapporter med forslag til utbedringer (i Plexicus, enda bedre, det automatiserer utbedring).
Vanlige sårbarheter oppdaget av DAST
- SQL-injeksjon: angripere setter inn ondsinnet SQL-kode i databaseforespørsler
- Cross-Site Scripting (XSS): ondsinnede skript injiseres i nettsteder som kjører i brukernes nettlesere.
- Usikre serverkonfigurasjoner
- Ødelagt autentisering eller øktadministrasjon
- Eksponering av sensitiv data i feilmeldinger
Fordeler med DAST
- dekker sikkerhetsfeil som SAST-verktøy overser
- Simulerer reelle angrep.
- fungerer uten tilgang til kildekoden
- støtter samsvar som PCI DSS, HIPAA og andre rammeverk.
Eksempel
I en DAST-skanning finner verktøyet et sikkerhetsproblem i et innloggingsskjema som ikke sjekker ordentlig hva brukerne skriver inn. Når verktøyet skriver inn en spesielt designet SQL-kommando, viser det at nettstedet kan angripes gjennom SQL-injeksjon. Denne oppdagelsen gjør det mulig for utviklere å fikse sårbarheten før applikasjonen går i produksjon.