Wat is DAST (Dynamische Applicatiebeveiligingstesten) ?
Dynamische applicatiebeveiligingstesten, of DAST, is een manier om de beveiliging van een applicatie te controleren terwijl deze actief is. In tegenstelling tot SAST, dat naar de broncode kijkt, test DAST de beveiliging door echte aanvallen zoals SQL-injectie en Cross-Site Scripting (XSS) in een live omgeving te simuleren.
DAST wordt vaak Black Box Testing genoemd omdat het een beveiligingstest van buitenaf uitvoert.
Waarom DAST Belangrijk is in Cybersecurity
Sommige beveiligingsproblemen verschijnen alleen wanneer het live is, vooral problemen die verband houden met runtime, gedrag of gebruikersvalidatie. DAST helpt organisaties om:
- Beveiligingsproblemen te ontdekken die door de SAST-tool worden gemist.
- De applicatie te evalueren in realistische omstandigheden, inclusief front-end en API
- De applicatiebeveiliging te versterken tegen webapplicatie-aanvallen.
Hoe DAST Werkt
- Voer de applicatie uit in de test- of stagingomgeving.
- Stuur kwaadaardige of onverwachte invoer (zoals samengestelde URL’s of payloads)
- Analyseer de applicatierespons om kwetsbaarheden te detecteren.
- Produceer rapporten met suggesties voor herstel (in Plexicus, nog beter, het automatiseert herstel)
Veelvoorkomende Kwetsbaarheden Gedetecteerd door DAST
- SQL-injectie: aanvallers voegen kwaadaardige SQL-code in databasequery’s in
- Cross-Site Scripting (XSS): kwaadaardige scripts worden geïnjecteerd in websites die worden uitgevoerd in de browsers van gebruikers.
- Onveilige serverconfiguraties
- Gebroken authenticatie of sessiebeheer
- Blootstelling van gevoelige gegevens in foutmeldingen
Voordelen van DAST
- dekken beveiligingsfouten die door SAST-tools worden gemist
- Simuleer echte aanvallen.
- werkt zonder toegang tot de broncode
- ondersteunt naleving zoals PCI DSS, HIPAA en andere kaders.
Voorbeeld
In een DAST-scan vindt de tool een beveiligingsprobleem in een inlogformulier dat niet goed controleert wat gebruikers invoeren. Wanneer de tool een speciaal ontworpen SQL-opdracht invoert, toont het aan dat de website kan worden aangevallen via SQL-injectie. Deze ontdekking stelt ontwikkelaars in staat om de kwetsbaarheid te verhelpen voordat de applicatie in productie gaat.