Was ist DAST (Dynamic Application Security Testing)?
Dynamic Application Security Testing, oder DAST, ist eine Methode zur Überprüfung der Sicherheit einer Anwendung während ihres Betriebs. Im Gegensatz zu SAST, das den Quellcode untersucht, testet DAST die Sicherheit, indem es reale Angriffe wie SQL Injection und Cross-Site Scripting (XSS) in einer Live-Umgebung simuliert.
DAST wird oft als Black Box Testing bezeichnet, da es einen Sicherheitstest von außen durchführt.
Warum DAST in der Cybersicherheit wichtig ist
Einige Sicherheitsprobleme treten erst auf, wenn die Anwendung live ist, insbesondere Probleme, die mit Laufzeit, Verhalten oder Benutzervalidierung verbunden sind. DAST hilft Organisationen dabei:
- Sicherheitsprobleme zu entdecken, die von den SAST-Tools übersehen werden.
- Die Anwendung unter realen Bedingungen zu evaluieren, einschließlich Front-End und API.
- Die Sicherheit der Anwendung gegen Webanwendungsangriffe zu stärken.
Wie DAST funktioniert
- Führen Sie die Anwendung in der Test- oder Staging-Umgebung aus.
- Senden Sie bösartige oder unerwartete Eingaben (wie manipulierte URLs oder Payloads).
- Analysieren Sie die Antwort der Anwendung, um Schwachstellen zu erkennen.
- Erstellen Sie Berichte mit Vorschlägen zur Behebung (in Plexicus, noch besser, es automatisiert die Behebung).
Häufige Schwachstellen, die von DAST erkannt werden
- SQL-Injection: Angreifer fügen bösartigen SQL-Code in Datenbankabfragen ein
- Cross-Site Scripting (XSS): Bösartige Skripte werden in Websites injiziert, die im Browser der Benutzer ausgeführt werden.
- Unsichere Serverkonfigurationen
- Gebrochene Authentifizierung oder Sitzungsverwaltung
- Offenlegung sensibler Daten in Fehlermeldungen
Vorteile von DAST
- Deckt Sicherheitslücken ab, die von SAST-Tools übersehen werden
- Simuliert echte Angriffe
- Funktioniert ohne Zugriff auf den Quellcode
- Unterstützt Compliance wie PCI DSS, HIPAA und andere Rahmenwerke.
Beispiel
Bei einem DAST-Scan findet das Tool ein Sicherheitsproblem in einem Login-Formular, das nicht richtig überprüft, was Benutzer eingeben. Wenn das Tool einen speziell gestalteten SQL-Befehl eingibt, zeigt es, dass die Website durch SQL-Injection angegriffen werden kann. Diese Entdeckung ermöglicht es Entwicklern, die Schwachstelle zu beheben, bevor die Anwendung in Produktion geht.