DAST (Pruebas dinámicas de seguridad de aplicaciones)
¿Qué es DAST (Pruebas dinámicas de seguridad de aplicaciones)?
DAST (Pruebas dinámicas de seguridad de aplicaciones)Pruebas de seguridad de caja negra que interactúan con la aplicación en ejecución por red para detectar vulnerabilidades visibles solo en tiempo de ejecución.
Las herramientas DAST interactúan con una aplicación desplegada —normalmente vía HTTP— sin necesidad de código fuente. Rastrean endpoints, envían peticiones maliciosas y observan respuestas para detectar inyección SQL, XSS, SSRF, fallos de autenticación, CORS mal configurado o cookies inseguras. Como ven lo mismo que un atacante, complementan al SAST capturando problemas que solo aparecen en ejecución, incluidos los derivados de configuración, infraestructura o servicios externos. Suelen ejecutarse en entornos de staging o QA e integrarse en CI/CD como control de liberación. Herramientas habituales: OWASP ZAP, Burp Suite, Invicti, Acunetix y StackHawk.
● Ejemplos
- 01
Ejecutar un escaneo automatizado de OWASP ZAP contra una API en staging como job de CI.
- 02
Realizar un escaneo con Burp Suite con sesión autenticada contra una SPA.
● Preguntas frecuentes
¿Qué es DAST (Pruebas dinámicas de seguridad de aplicaciones)?
Pruebas de seguridad de caja negra que interactúan con la aplicación en ejecución por red para detectar vulnerabilidades visibles solo en tiempo de ejecución. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa DAST (Pruebas dinámicas de seguridad de aplicaciones)?
Pruebas de seguridad de caja negra que interactúan con la aplicación en ejecución por red para detectar vulnerabilidades visibles solo en tiempo de ejecución.
¿Cómo defenderse de DAST (Pruebas dinámicas de seguridad de aplicaciones)?
Las defensas contra DAST (Pruebas dinámicas de seguridad de aplicaciones) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DAST (Pruebas dinámicas de seguridad de aplicaciones)?
Nombres alternativos comunes: Análisis dinámico, Pruebas de seguridad de caja negra.