DAST (Dynamic Application Security Testing)
O que é DAST (Dynamic Application Security Testing)?
DAST (Dynamic Application Security Testing)Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução.
Ferramentas DAST interagem com uma aplicação implantada — normalmente via HTTP — sem precisar de código-fonte. Elas exploram endpoints, enviam requisições maliciosas e observam respostas para detectar SQL injection, XSS, SSRF, falhas de autenticação, CORS mal configurado ou cookies inseguros. Como veem o que um atacante veria, complementam o SAST capturando problemas que só aparecem em runtime, inclusive os causados por configuração, infraestrutura ou serviços de terceiros. Em geral rodam em ambientes de staging ou QA e são integrados ao CI/CD como portão de liberação. Ferramentas comuns: OWASP ZAP, Burp Suite, Invicti, Acunetix e StackHawk.
● Exemplos
- 01
Executar uma varredura automatizada do OWASP ZAP contra uma API em staging como job de CI.
- 02
Fazer uma varredura com Burp Suite usando sessão autenticada contra uma SPA.
● Perguntas frequentes
O que é DAST (Dynamic Application Security Testing)?
Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa DAST (Dynamic Application Security Testing)?
Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução.
Como se defender contra DAST (Dynamic Application Security Testing)?
As defesas contra DAST (Dynamic Application Security Testing) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para DAST (Dynamic Application Security Testing)?
Nomes alternativos comuns: Análise dinâmica, Teste de segurança caixa-preta.