DAST
Dynamic Application Security Testing — метод тестирования запущенных приложений на уязвимости безопасности путем симуляции атак.
Определение
DAST-инструменты тестируют приложения в запущенном состоянии, отправляя вредоносные входные данные и анализируя ответы. Они могут найти уязвимости, которые появляются только в runtime: проблемы аутентификации, управления сессиями, ошибки конфигурации сервера. DAST не требует доступа к исходному коду. Популярные инструменты: OWASP ZAP, Burp Suite, Acunetix.
Почему это важно
DAST обнаруживает уязвимости, которые SAST не может найти, такие как ошибки конфигурации runtime и обходы аутентификации. Он тестирует приложение так, как его видит атакующий. По данным Veracode, комбинация SAST и DAST обнаруживает на 70% больше уязвимостей.
Пример
DAST-сканер автоматически тестирует страницу логина веб-приложения с различными SQL-инъекциями, обнаруживая, что определенные входные паттерны вызывают утечку сообщений об ошибках базы данных.