Apa itu DAST (Dynamic Application Security Testing)?
Pengujian keamanan aplikasi dinamis, atau DAST, adalah cara untuk memeriksa keamanan aplikasi saat sedang berjalan. Berbeda dengan SAST, yang melihat kode sumber, DAST menguji keamanan dengan mensimulasikan serangan nyata seperti SQL Injection dan Cross-Site Scripting (XSS) dalam pengaturan langsung.
DAST sering disebut sebagai Pengujian Kotak Hitam karena menjalankan tes keamanan dari luar.
Mengapa DAST Penting dalam Keamanan Siber
Beberapa masalah keamanan hanya muncul saat aplikasi aktif, terutama masalah yang terkait dengan runtime, perilaku, atau validasi pengguna. DAST membantu organisasi untuk:
- Menemukan masalah keamanan yang terlewatkan oleh alat SAST.
- Mengevaluasi aplikasi dalam keadaan dunia nyata, termasuk front-end dan API
- Memperkuat keamanan aplikasi terhadap serangan aplikasi web.
Cara Kerja DAST
- Jalankan aplikasi di lingkungan pengujian atau staging.
- Kirimkan input yang berbahaya atau tidak terduga (seperti URL atau payload yang dibuat)
- Analisis respons aplikasi untuk mendeteksi kerentanan.
- Hasilkan laporan dengan saran perbaikan (di Plexicus, bahkan lebih baik, ini mengotomatisasi perbaikan)
Kerentanan Umum yang Terdeteksi oleh DAST
- SQL Injection: penyerang memasukkan kode SQL berbahaya ke dalam kueri database
- Cross-Site Scripting (XSS): skrip berbahaya disuntikkan ke dalam situs web yang dieksekusi di browser pengguna.
- Konfigurasi server yang tidak aman
- Otentikasi atau manajemen sesi yang rusak
- Paparan data sensitif dalam pesan kesalahan
Manfaat DAST
- menutupi kelemahan keamanan yang terlewatkan oleh alat SAST
- Mensimulasikan serangan dunia nyata.
- bekerja tanpa akses ke kode sumber
- mendukung kepatuhan seperti PCI DSS, HIPAA, dan kerangka kerja lainnya.
Contoh
Dalam pemindaian DAST, alat menemukan masalah keamanan dalam formulir login yang tidak memeriksa dengan benar apa yang diketik pengguna. Ketika alat memasukkan perintah SQL yang dirancang khusus, alat tersebut menunjukkan bahwa situs web dapat diserang melalui injeksi SQL. Penemuan ini memungkinkan pengembang untuk memperbaiki kerentanan sebelum aplikasi masuk ke produksi.