Co to jest DAST (Dynamiczne Testowanie Bezpieczeństwa Aplikacji)?
Dynamiczne testowanie bezpieczeństwa aplikacji, czyli DAST, to sposób sprawdzania bezpieczeństwa aplikacji podczas jej działania. W przeciwieństwie do SAST, które analizuje kod źródłowy, DAST testuje bezpieczeństwo poprzez symulowanie rzeczywistych ataków, takich jak SQL Injection i Cross-Site Scripting, w rzeczywistym środowisku.
DAST jest często określane jako testowanie czarnej skrzynki, ponieważ przeprowadza test bezpieczeństwa z zewnątrz.
Dlaczego DAST jest ważne w cyberbezpieczeństwie
Niektóre problemy z bezpieczeństwem pojawiają się tylko podczas działania aplikacji, zwłaszcza te związane z czasem działania, zachowaniem lub walidacją użytkownika. DAST pomaga organizacjom:
- Odkrywać problemy z bezpieczeństwem, które są pomijane przez narzędzie SAST.
- Ocenić aplikację w rzeczywistych warunkach, w tym front-end i API.
- Wzmocnić bezpieczeństwo aplikacji przed atakami na aplikacje internetowe.
Jak działa DAST
- Uruchom aplikację w środowisku testowym lub staging.
- Wyślij złośliwe lub nieoczekiwane dane wejściowe (takie jak spreparowane adresy URL lub ładunki)
- Analizuj odpowiedź aplikacji w celu wykrycia podatności.
- Twórz raporty z sugestiami dotyczącymi naprawy (w Plexicus, co więcej, automatyzuje naprawę)
Wspólne podatności wykrywane przez DAST
- SQL Injection: atakujący wstawiają złośliwy kod SQL do zapytań do bazy danych
- Cross-Site Scripting (XSS): złośliwe skrypty są wstrzykiwane do stron internetowych, które wykonują się w przeglądarkach użytkowników.
- Niezabezpieczone konfiguracje serwera
- Złamana autoryzacja lub zarządzanie sesjami
- Ujawnienie wrażliwych danych w komunikatach o błędach
Korzyści z DAST
- pokrywa luki bezpieczeństwa pominięte przez narzędzia SAST
- Symuluje rzeczywisty atak.
- działa bez dostępu do kodu źródłowego
- wspiera zgodność z takimi standardami jak PCI DSS, HIPAA i innymi ramami.
Przykład
W skanowaniu DAST, narzędzie znajduje problem bezpieczeństwa w formularzu logowania, który nieprawidłowo sprawdza, co użytkownicy wpisują. Kiedy narzędzie wprowadza specjalnie zaprojektowane polecenie SQL, pokazuje, że strona internetowa może być zaatakowana poprzez wstrzyknięcie SQL. To odkrycie umożliwia deweloperom naprawienie podatności zanim aplikacja trafi do produkcji.