logo

Command Palette

Search for a command to run...
Slovník Dynamic Application Security Testing (DAST)

Co je DAST (Dynamické testování bezpečnosti aplikací)?

Dynamické testování bezpečnosti aplikací, nebo DAST, je způsob, jak zkontrolovat bezpečnost aplikace během jejího běhu. Na rozdíl od SAST, které se zaměřuje na zdrojový kód, DAST testuje bezpečnost simulováním skutečných útoků, jako je SQL Injection a Cross-Site Scripting, v živém prostředí.

DAST je často označováno jako testování černé skříňky, protože provádí bezpečnostní test zvenčí.

Proč je DAST důležitý v kybernetické bezpečnosti

Některé bezpečnostní problémy se objeví pouze při běhu aplikace, zejména problémy spojené s runtime, chováním nebo validací uživatele. DAST pomáhá organizacím:

  • Objevit bezpečnostní problémy, které nástroje SAST přehlédnou.
  • Hodnotit aplikaci v reálných podmínkách, včetně front-endu a API.
  • Posílit bezpečnost aplikace proti útokům na webové aplikace.

Jak DAST funguje

  • Spusťte aplikaci v testovacím nebo stagingovém prostředí.
  • Odešlete škodlivý nebo neočekávaný vstup (například vytvořené URL nebo payloady)
  • Analyzujte odpověď aplikace k detekci zranitelností.
  • Vytvářejte zprávy s návrhy na nápravu (v Plexicus, ještě lépe, automatizuje nápravu)

Běžné zranitelnosti detekované DAST

  • SQL Injection: útočníci vkládají škodlivý SQL kód do dotazů na databázi
  • Cross-Site Scripting (XSS): škodlivé skripty jsou injektovány do webových stránek, které se spouštějí v prohlížečích uživatelů.
  • Nezabezpečené konfigurace serveru
  • Nefunkční autentizace nebo správa relací
  • Zveřejnění citlivých dat v chybových zprávách

Výhody DAST

  • pokrývá bezpečnostní nedostatky, které SAST nástroje přehlédnou
  • Simuluje skutečný útok v reálném světě.
  • funguje bez přístupu ke zdrojovému kódu
  • podporuje shodu jako PCI DSS, HIPAA a další rámce.

Příklad

V DAST skenu nástroj nalezne bezpečnostní problém ve formuláři pro přihlášení, který správně nekontroluje, co uživatelé zadávají. Když nástroj zadá speciálně navržený SQL příkaz, ukáže se, že webová stránka může být napadena prostřednictvím SQL injekce. Tento objev umožňuje vývojářům opravit zranitelnost před tím, než aplikace přejde do produkce.

Související termíny

  • SAST (Statické testování bezpečnosti aplikací)
  • IAST (Interaktivní testování bezpečnosti aplikací)
  • SCA (Analýza složení softwaru)
  • OWASP Top 10
  • Testování bezpečnosti aplikací

Další kroky

Připraveni zabezpečit vaše aplikace? Vyberte si svou cestu vpřed.

Začít bezplatnou zkušební verzi

Vyzkoušejte Plexicus bez rizika po dobu 14 dnů

Zobrazit ceny

Transparentní ceny pro týmy všech velikostí

Připojte se ke komunitě

Připojte se k naší globální komunitě

Přečtěte si dokumentaci

Přečtěte si naši komplexní dokumentaci

Připojte se k více než 500 společnostem, které již zabezpečují své aplikace s Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready