Anwendungssicherheit
DAST (Dynamic Application Security Testing)
Auch bekannt als: Dynamische Analyse, Blackbox-Sicherheitstest
Definition
Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.
Beispiele
- Einen automatisierten OWASP-ZAP-Scan gegen eine Staging-API als CI-Job ausführen.
- Mit Burp Suite einen authentifizierten Scan gegen eine SPA durchführen.
Verwandte Begriffe
SAST (Static Application Security Testing)
Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden.
IAST (Interactive Application Security Testing)
Sicherheitstest, der eine laufende Anwendung von innen instrumentiert und in Echtzeit beobachtet, während sie durch Verkehr oder Tests ausgeführt wird.
RASP (Runtime Application Self-Protection)
Eine in die laufende Anwendung eingebettete Verteidigung, die den Ausführungskontext überwacht und bösartiges Verhalten wie Injection oder unsichere Deserialisierung in Echtzeit blockiert.
Fuzz-Testing
Automatisierte Testtechnik, die ein Programm mit großen Mengen fehlerhafter, zufälliger oder unerwarteter Eingaben füttert, um Crashes, Speicherkorruption und Sicherheitslücken aufzudecken.
DevSecOps
Eine Kultur und Praxis, die Sicherheitsverantwortung in DevOps-Workflows integriert, damit Teams sichere Software kontinuierlich und schnell ausliefern.
OWASP Top 10
OWASP Top 10 — definition coming soon.