Cos’è DAST (Dynamic Application Security Testing)?
Il test dinamico della sicurezza delle applicazioni, o DAST, è un metodo per verificare la sicurezza di un’applicazione mentre è in esecuzione. A differenza di SAST, che analizza il codice sorgente, DAST testa la sicurezza simulando attacchi reali come SQL Injection e Cross-Site Scripting (XSS) in un ambiente live.
DAST è spesso chiamato Black Box Testing poiché esegue un test di sicurezza dall’esterno.
Perché DAST è importante nella cybersecurity
Alcuni problemi di sicurezza si manifestano solo quando l’applicazione è attiva, specialmente quelli legati al runtime, al comportamento o alla validazione dell’utente. DAST aiuta le organizzazioni a:
- Scoprire problemi di sicurezza che vengono trascurati dagli strumenti SAST.
- Valutare l’applicazione in circostanze reali, inclusi front-end e API.
- Rafforzare la sicurezza delle applicazioni contro gli attacchi alle applicazioni web.
Come funziona DAST
- Eseguire l’applicazione nell’ambiente di test o di staging.
- Inviare input malevoli o inattesi (come URL o payload creati ad hoc).
- Analizzare la risposta dell’applicazione per rilevare vulnerabilità.
- Produrre report con suggerimenti di rimedio (in Plexicus, ancora meglio, automatizza il rimedio).
Vulnerabilità comuni rilevate da DAST
- SQL Injection: gli aggressori inseriscono codice SQL dannoso nelle query del database
- Cross-Site Scripting (XSS): script dannosi vengono iniettati nei siti web che si eseguono nei browser degli utenti.
- Configurazioni del server non sicure
- Autenticazione o gestione delle sessioni compromesse
- Esposizione di dati sensibili nei messaggi di errore
Vantaggi del DAST
- copre le falle di sicurezza non rilevate dagli strumenti SAST
- Simula attacchi reali.
- funziona senza accesso al codice sorgente
- supporta la conformità come PCI DSS, HIPAA e altri framework.
Esempio
In una scansione DAST, lo strumento trova un problema di sicurezza in un modulo di login che non verifica correttamente ciò che gli utenti digitano. Quando lo strumento inserisce un comando SQL appositamente progettato, mostra che il sito web può essere attaccato tramite SQL injection. Questa scoperta consente agli sviluppatori di correggere la vulnerabilità prima che l’applicazione venga messa in produzione.