DAST (Dynamic Application Security Testing)
Что такое DAST (Dynamic Application Security Testing)?
DAST (Dynamic Application Security Testing)Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.
Инструменты DAST взаимодействуют с развернутым приложением, обычно по HTTP, и не требуют исходного кода. Они обходят эндпоинты, отправляют специально подготовленные запросы и анализируют ответы, обнаруживая SQL-инъекции, XSS, SSRF, ошибки аутентификации, некорректный CORS, небезопасные cookie. Видя приложение глазами атакующего, DAST дополняет SAST и выявляет проблемы, существующие только в рантайме, в том числе вызванные конфигурацией, инфраструктурой или сторонними сервисами. Обычно запускается в staging/QA и встраивается в CI/CD как релизные ворота. Среди инструментов — OWASP ZAP, Burp Suite, Invicti, Acunetix, StackHawk.
● Примеры
- 01
Запуск автоматического сканирования OWASP ZAP против staging API в CI.
- 02
Сканирование SPA с аутентифицированной сессией с помощью Burp Suite.
● Частые вопросы
Что такое DAST (Dynamic Application Security Testing)?
Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций. Относится к категории Безопасность приложений в кибербезопасности.
Что означает DAST (Dynamic Application Security Testing)?
Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.
Как защититься от DAST (Dynamic Application Security Testing)?
Защита от DAST (Dynamic Application Security Testing) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DAST (Dynamic Application Security Testing)?
Распространённые альтернативные названия: Динамический анализ, Black-box тестирование.