Dynamisk säkerhetstestning av applikationer (DAST) är en process där man analyserar en webbapplikation via frontend för att hitta sårbarheter genom simulerade attacker. Denna typ av metod utvärderar applikationen "utifrån och in" genom att attackera en applikation på samma sätt som en illvillig användare skulle göra. Efter att en DAST -skanner har utfört dessa attacker letar den efter resultat som inte ingår i den förväntade resultatuppsättningen och identifierar säkerhetsproblem.
Utveckling och testning av applikationer fortsätter att vara den mest utmanande säkerhetsprocessen för organisationer, enligt IT-säkerhetsexperter. Utvecklare behöver lösningar som hjälper dem att skapa säker kod, och det är här AppSec-verktygen (Application Security) kommer in i bilden.
AppSec är en disciplin med processer, verktyg och metoder som syftar till att skydda applikationer från hot genom hela applikationens livscykel.
Det finns många sätt att testa applikationssäkerhet, bland annat:
DAST är viktigt eftersom utvecklare inte behöver förlita sig enbart på sin egen kunskap när de bygger applikationer. Genom att genomföra DAST under SDLC kan du upptäcka sårbarheter i en applikation innan den distribueras till allmänheten. Om dessa sårbarheter inte åtgärdas och appen distribueras som sådan kan det leda till ett dataintrång, vilket kan leda till stora ekonomiska förluster och skada ditt varumärkes rykte. Det mänskliga felet kommer oundvikligen att spela en roll någon gång under livscykeln för programvaruutveckling (SDLC), och ju tidigare en sårbarhet upptäcks under SDLC, desto billigare är den att åtgärda.
När DAST ingår som en del av CI/CD-pipelinen (Continuous Integration/Continuous Development) kallas detta för "Secure DevOps" eller "DevSecOps".
En DAST -skanner söker efter sårbarheter i en applikation som körs och skickar sedan automatiska varningar om den hittar brister som möjliggör attacker som SQL-injektioner, XSS (Cross-Site Scripting) med mera. Eftersom DAST -verktyg är utrustade för att fungera i en dynamisk miljö kan de upptäcka brister i körtiden som SAST -verktyg inte kan identifiera.
För att ta en byggnad som exempel kan en DAST scanner liknas vid en säkerhetsvakt. Men i stället för att bara se till att dörrar och fönster är låsta går vakten ett steg längre genom att försöka bryta sig in i byggnaden rent fysiskt. Vakten kan försöka dyrka upp låsen på dörrarna eller krossa fönster. Efter att ha avslutat undersökningen kan vakten rapportera tillbaka till byggnadschefen och ge en förklaring till hur han lyckades bryta sig in i byggnaden. En DAST -skanner kan ses på samma sätt - den försöker aktivt hitta sårbarheter i en körmiljö så att DevOps-teamet vet var och hur de ska åtgärda dem.OpenText™ Fortify™ WebInspect tillhandahåller automatiserad dynamisk säkerhetstestning av applikationer så att du kan skanna och åtgärda sårbarheter i webbapplikationer som kan utnyttjas.
Vanligtvis görs DAST efter produktion eftersom den emulerar attacker på en applikation som körs; men genom att fatta beslutet att "skifta DAST vänster" (flytta DAST tidigare i utvecklingsprocessen) kan du upptäcka sårbarheter tidigare, vilket sparar tid och pengar. Fortify WebInspect innehåller förbyggda skanningspolicyer som balanserar behovet av hastighet med dina organisatoriska krav.
Fortify WebInspect innehåller också en funktion för inkrementell skanning, som gör att du snabbt kan bedöma sårbarheter i endast de delar av programmet som har ändrats.
Fortify WebInspect låter dig göra det:
DAST angriper programmet "utifrån och in" genom att angripa ett program som en illasinnad användare skulle göra. När en DAST -skanner har utfört dessa attacker letar den efter resultat som inte ingår i den förväntade resultatuppsättningen och identifierar säkerhetsproblem.
SASTanalyserar å andra sidan statiska miljöer, det vill säga källkoden till en applikation. Man tittar på applikationen från "insidan och ut" och letar efter sårbarheter i koden.
För att maximera styrkan i din säkerhetsställning är det en bra idé att använda både SAST och DAST. Med denna enhetliga taxonomi för olika testmetoder får du en fullständig bild av sårbarheter.
Vi förbättrar din SDLC med Dynamic Application Security Testing (DAST). Fortify WebInspect tillhandahåller den teknik och rapportering du behöver för att säkra och analysera dina applikationer. Detta och andra verktyg från OpenText överbryggar klyftan mellan befintliga och nya tekniker - vilket innebär att du kan innovera och leverera appar snabbare, med mindre risk, i kapplöpningen mot digital omvandling.
Fortify erbjuder de mest omfattande teknikerna för statisk och dynamisk testning av applikationssäkerhet, tillsammans med övervakning och skydd av applikationer under körning, med stöd av branschledande säkerhetsforskning.
Identifiera sårbarheter i distribuerade webbapplikationer och -tjänster
Lås upp säkerhetstestning, sårbarhetshantering samt skräddarsydd expertis och support
Försvara med precision, säkra med självförtroende