DAST (Dynamic Application Security Testing)
Was ist DAST (Dynamic Application Security Testing)?
DAST (Dynamic Application Security Testing)Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.
DAST-Tools interagieren mit einer deployten Anwendung – typischerweise über HTTP – ohne Quellcode zu benötigen. Sie crawlen Endpunkte, senden manipulierte Requests und werten Responses aus, um SQL-Injection, XSS, SSRF, fehlerhafte Authentifizierung, falsch konfiguriertes CORS oder unsichere Cookies zu erkennen. Da sie sehen, was auch ein Angreifer sieht, ergänzt DAST SAST und findet Probleme, die nur zur Laufzeit auftreten – auch durch Konfiguration, Infrastruktur oder Drittanbieter. Üblich ist der Einsatz in Staging/QA-Umgebungen und als Release-Gate in der CI/CD. Bekannte Tools: OWASP ZAP, Burp Suite, Invicti, Acunetix, StackHawk.
● Beispiele
- 01
Einen automatisierten OWASP-ZAP-Scan gegen eine Staging-API als CI-Job ausführen.
- 02
Mit Burp Suite einen authentifizierten Scan gegen eine SPA durchführen.
● Häufige Fragen
Was ist DAST (Dynamic Application Security Testing)?
Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet DAST (Dynamic Application Security Testing)?
Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.
Wie schützt man sich gegen DAST (Dynamic Application Security Testing)?
Schutzmaßnahmen gegen DAST (Dynamic Application Security Testing) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DAST (Dynamic Application Security Testing)?
Übliche alternative Bezeichnungen: Dynamische Analyse, Blackbox-Sicherheitstest.