מהו DAST (בדיקת אבטחת יישומים דינמית)?
בדיקת אבטחת יישומים דינמית, או DAST, היא דרך לבדוק את אבטחת היישום בזמן שהוא פועל. בניגוד ל-SAST, אשר בוחן את קוד המקור, DAST בודק את האבטחה על ידי סימולציה של התקפות אמיתיות כמו הזרקת SQL ו-Cross-Site Scripting (XSS) בסביבה חיה.
DAST מכונה לעיתים קרובות בדיקת קופסה שחורה מכיוון שהוא מבצע בדיקת אבטחה מבחוץ.
מדוע DAST חשוב באבטחת סייבר
חלק מבעיות האבטחה מופיעות רק כשהיישום חי, במיוחד בעיות הקשורות לזמן ריצה, התנהגות או אימות משתמשים. DAST עוזר לארגונים ל:
- לגלות בעיות אבטחה שהוחמצו על ידי כלי SAST.
- להעריך את היישום בתנאים אמיתיים, כולל חזית ותכנות API.
- לחזק את אבטחת היישום נגד התקפות יישומי אינטרנט.
כיצד DAST עובד
- להריץ את היישום בסביבת בדיקה או שלב.
- לשלוח קלט זדוני או בלתי צפוי (כמו כתובות URL או מטענים מעוצבים).
- לנתח את תגובת היישום כדי לזהות חולשות.
- להפיק דוחות עם הצעות לתיקון (ב-Plexicus, אפילו טוב יותר, זה אוטומטי תיקון).
חולשות נפוצות שמזוהות על ידי DAST
- הזרקת SQL: תוקפים מכניסים קוד SQL זדוני לתוך שאילתות בסיס נתונים
- Cross-Site Scripting (XSS): סקריפטים זדוניים מוזרקים לאתרים ומבוצעים בדפדפנים של המשתמשים.
- תצורות שרת לא מאובטחות
- אימות שבור או ניהול סשן
- חשיפת נתונים רגישים בהודעות שגיאה
יתרונות של DAST
- מכסה פגמי אבטחה שהוחמצו על ידי כלי SAST
- מדמה התקפה בעולם האמיתי.
- עובד ללא גישה לקוד המקור
- תומך בעמידה בדרישות כמו PCI DSS, HIPAA ומסגרות אחרות.
דוגמה
בסריקת DAST, הכלי מוצא בעיית אבטחה בטופס כניסה שלא בודק כראוי מה שהמשתמשים מקלידים. כאשר הכלי מכניס פקודת SQL מעוצבת במיוחד, הוא מראה שניתן לתקוף את האתר דרך הזרקת SQL. גילוי זה מאפשר למפתחים לתקן את הפגיעות לפני שהיישום נכנס לייצור.