DAST (Dynamic Application Security Testing) ist ein Testansatz, bei dem eine Anwendung auf verschiedene Laufzeitschwachstellen getestet wird, die erst auftreten, wenn die Anwendung voll funktionsfähig ist. Diese Probleme können sich auf Laufzeit, Code, Abhängigkeiten und mehr beziehen.
Als eine Art Black-Box-Test (d. h. Sie wissen nicht, was in der Anwendung ausgeführt wird, wenn Sie versuchen, sie auszunutzen) verfolgt DAST einen Outside-In-Ansatz und simuliert reale Angriffsszenarien wie SQL-Injections, Cross-Site-Scripting und Authentifizierungsprobleme.
Get the Application Security Best Practices [Cheat Sheet]
This 6-page guide goes beyond basics — it’s a deep dive into advanced, practical AppSec strategies for developers, security engineers, and DevOps teams.
Wie funktioniert DAST eigentlich?
DAST passt am besten in die Testphase Ihrer Anwendung. DAST kommt in der Regel nach anderen Codesicherheits- und Codequalitätsscans in den Pipelines, wie z. B. SAST.
DAST umfasst mehrere Schritte:
1. Entdeckung
In dieser Phase wird eine Anwendung gescannt, um die Einstiegspunkte oder Schnittstellen zu finden, die es einem Benutzer ermöglichen, mit der Anwendung zu interagieren. Denken Sie an APIs, Formulare, Benutzeroberflächen oder URLs. Alle diese Einstiegspunkte werden im nächsten Schritt getestet.
2. Simulation
Sobald die Anwendungsschnittstellen in der Erkennungsphase identifiziert wurden, ist die Anwendung verschiedenen Arten von Angriffen ausgesetzt, wie z. B. SQL-Injections, Cross-Site-Scripting (XSS), Speicherlecks zur Laufzeit, Cross-Site Request Forgery (CSRF), Ausweitung von Berechtigungen, Serverkonfigurationen und TLS-Probleme. DAST-Tools versuchen, diese Angriffe auszuführen und bemühen sich, Zugriff auf kritische Teile der Anwendung zu erhalten.
3. Analyse
Sobald Simulationen durchgeführt wurden, werden die Ergebnisse dieser Angriffssimulationen analysiert, um festzustellen, ob Schwachstellen vorhanden sind oder nicht.
4. Berichtend
In der Berichtsphase stellen die DAST-Tools alle identifizierten Schwachstellen vor und schlagen Tools und mögliche Korrekturen vor. Die Berichterstellung kann in die Kommunikationskanäle Ihres Unternehmens integriert werden, um Teams zu warnen, sobald eine Schwachstelle gefunden wird.
Alle diese Schritte zusammen ergeben einen vollständigen DAST-Scan, und Berichte sind ein Ausgangspunkt für Untersuchungen und Abhilfemaßnahmen, die es Ihren Teams ermöglichen, die Sicherheitslage Ihres Systems zu stärken.
SAST gegen DAST
Zusammenfassend lässt sich sagen, dass Dynamic Application Security Testing (DAST) eine Penetrationstesttechnik ist, bei der eine Anwendung bewertet wird', ohne den zugrunde liegenden Code zu analysieren. Anstatt die Codebasis zu untersuchen, konzentriert sich DAST auf das Ausführen und Interagieren mit der Software unter Verwendung bekannter Angriffsvektoren.
Zum Beispiel testet DAST einen HTTP-Server, indem es Anfragen sendet, die mit potenziellen Exploits eingebettet sind, um zu überprüfen, ob die Anwendung anfällig ist. Da DAST'nicht den Code selbst untersuchen,'s ist sprachunabhängig und unabhängig von der verwendeten Programmiersprache oder den verwendeten Technologien effektiv, was es vielseitig über verschiedene Plattformen hinweg macht.
Obwohl DAST tendenziell langsamer ist als statische Anwendungssicherheitstests (SAST), kann es eine breitere Palette von Schwachstellen erkennen, die für SAST nicht erkennbar sind, wie z. B. Laufzeitschwachstellen, die in Produktionsumgebungen auftreten. (Schwachstellen wie Distributed-Denial-of-Service-Anfälligkeit, Offenlegung sensibler interner Daten oder Fehlkonfigurationen in Diensten von Drittanbietern.)
Auf der anderen Seite SAST kommt vor DAST während der Entwicklung und CI/CD-Pipelines. SAST analysiert den Quellcode selbst und kann sehr früh in Ihren DevSecOps-Pipelines ausgeführt werden. Mit SAST wird der Code analysiert, um Muster zu finden, die potenzielle Probleme darstellen können. SAST kann auch mit Fuzzing kombiniert werden, um umfassendere Ergebnisse zu erzielen.
DAST gegen IAST
IAST (Interactive Application Security Testing) ist eine Kombination aus SAST- und DAST-Methoden, die Ihren Sicherheitstests einen Mehrwert verleihen können. IAST analysiert den Quellcode auf Schwachstellen und führt auch einen Teil des Codes aus, um Probleme zu identifizieren und sein Verhalten in Echtzeit zu überwachen. IAST analysiert die Laufzeit, indem es Instrumentierung hinzufügt, um wichtige Metriken an verschiedenen Codepunkten zu messen, was sowohl bei der Identifizierung von Sicherheitsproblemen als auch bei der Angabe des Schweregrads des Problems hilft.
Vorteile von DAST
Dynamische Anwendungssicherheitstests sind sehr nah an Echtzeit-Angriffssituationen, sodass sie Ihnen helfen können, Exploits zu erkennen, die tatsächlich in freier Wildbahn gefunden werden. Hier ist eine Zusammenfassung der anderen Vorteile, die DAST mit sich bringt:
Runtime-Schwachstelle und breite Schwachstellenerkennung: Abgesehen von Ihrem Code können schwerwiegende Probleme in Ihrer Runtime (und nur in Ihrer Runtime) gefunden werden. Das macht DAST sehr hilfreich, denn das Runtime Vulnerability Scanning ist die Spezialität von DAST. DAST schaut auch aus einer externen Perspektive über den Code hinaus und kann Probleme wie Session-Missmanagement, Cross-Site-Request-Forgery, offene Weiterleitungen, Log4Shellund vieles mehr.
Sprachunabhängige Tests: DAST-Tools müssen die Programmiersprache, die Sie zum Erstellen Ihrer Anwendung verwendet haben, nicht verstehen – sie können alle Schwachstellen identifizieren und ausnutzen, egal was passiert. Dies erleichtert die DAST-Implementierung und rationalisiert Ihre Test-Workflows.
Tests durch Dritte: Sie können Ihre Abhängigkeiten über DAST-Tools auf Probleme testen. (Da es die internen Abläufe nicht verstehen muss und nur Schnittstellen benötigt, um die Evaluierung zu starten, ist es einfach, DAST auf Ihren Tools von Drittanbietern zu verwenden!)
Echtes Angriffsverhalten: Die größte Stärke von DAST ist die Art seiner "Angriffe". Die Simulationen, die die DAST-Tools durchführen, kommen dem tatsächlichen Verhalten von Angreifern sehr nahe.
Catch code risks before you deploy
Learn how Wiz Code scans IaC, containers, and pipelines to stop misconfigurations and vulnerabilities before they hit your cloud.
Einschränkungen von DAST
Obwohl DAST eine großartige Option zum Testen ist, hat es einige Nachteile:
Fehlalarme bei Sicherheitstests: DAST kann eine Menge Fehlalarme auslösen, was eine Menge Arbeit für die Teams bedeutet, die sie alle durchsuchen und entscheiden müssen, auf welche Alarme sie achten sollen.
Langsame Erkennung: DAST ist im Vergleich zu seinem Gegenstück SAST sehr langsam und kann viel Zeit in Anspruch nehmen, um Probleme zu erkennen, wodurch Ihre Bereitstellungszyklen länger werden.
Gegenteil von Shift Left: Der Shift-Left-Ansatz von SAST spart viel Zeit, aber DAST ist im Grunde das Gegenteil. Sie können die DAST-Analyse nur starten nach Ihr Anwendungscode ist abgeschlossen, erstellt und bereitgestellt. Da die Problembehebung erst nach der Bereitstellung erfolgt, ist die Identifizierung und Weiterleitung der Problembehebung an die zuständigen Entwicklungsverantwortlichen ein langwieriger Prozess.
Kein Code-Einblick: Da DAST keinen Einblick in den Code selbst hat, kann es Probleme geben, die DAST übersieht. Deshalb ist SAST auch sehr wichtig, und es ist eine gute Idee, beide zu verwenden und sich nicht nur auf einen zu verlassen.
DevOps Security Best Practices [Cheat Sheet]
In this 12 page cheat sheet we'll cover best practices in the following areas of DevOps: secure coding practices, infrastructure security, monitoring and response.
Download Cheat Sheet
Beliebte Open-Source-DAST-Tools
Es gibt viele beliebte Open-Source-Tools, die Sie für die DAST-Analyse nutzen können. Hier sind einige, die sich in ständiger Entwicklung befinden:
| Tool | Description |
|---|---|
| OWASP ZAP | ZAP, or Zed Attack Proxy, is one of the most popular DAST tools. It can be easily integrated into your CI/CD security pipeline to analyze the behavior of your application. ZAP has a major community backing it, can perform other security testing like SAST, and can carry out code reviews as well. |
| Wapiti | Wapiti is another very popular open-source tool for scanning web applications. It covers a wide array of attacks, including some advanced attacks like TLS misconfigurations and Shellshock. (Note that Wapiti doesn’t have a GUI and is more suited to scheduled scans than real-time testing.) |
| Vega | Vega is also a free, open-source tool for dynamic application testing. Vega has APIs and GUI, which makes it user friendly. The downsides? Vega has limited support for modem JavaScript applications and can struggle with CI/CD integration. |
| w3af | w3af is billed as a complete ecosystem for auditing web applications. It comes with a lot of helpful features—from notification channels to reporting and alerting. w3af’s drawbacks are a lack of a GUI and limited support for C/CD. |
| Burp Suite | Burp Suite is used widely for security scanning and testing. Burp Suite is available as a community offering as well as a paid version. (With the paid version, you can get some extra automated scanning features.) For better control and ease of use, Burp Suite offers a GUI. Burp Suite boasts a vast number of features and attacks that it can analyze and perform. |
Verbessern Sie die Sicherheit Ihrer Anwendung und Ihres SDLC mit Wiz Code
DAST-Scans können zwar zeitaufwändig sein, bieten aber einen großen Mehrwert bei der Stärkung Ihrer Anwendungssicherheit gegen Angreiferbedrohungen. Um die Geschwindigkeit und Produktivität agiler Bereitstellungszyklen aufrechtzuerhalten, können DAST-Scans direkt nach der Bereitstellung ausgeführt und dann kontinuierlich und asynchron wiederholt werden, um eventuell auftretende Laufzeitschwachstellen zu melden.
Es steht außer Frage, dass DAST Ihnen helfen kann, Ihre Sicherheitslage nach der Bereitstellung Ihrer Apps zu stärken, aber DAST allein reicht nicht aus. Es empfiehlt sich, einen proaktiven Sicherheitsansatz zu implementieren und während der Buildzeit eine umfassende Reihe von Scans durchzuführen (Erstanbietercode, Drittanbietercode, Infrastruktur und Pipeline-Sicherheitseinstellungen), um sicherzustellen, dass Sie Ihre Systeme nicht Bedrohungsakteuren aussetzen. Wiz-Code kommt herein.
Wiz Code bietet Entwicklern Echtzeit-Sicherheitsfeedback, angereichert mit Cloud-Erkenntnissen, direkt in der IDE und bei Pull Requests. Dies hilft Entwicklern, die Auswirkungen von Schwachstellen und offengelegten Geheimnissen zu antizipieren, sobald ihr Code bereitgestellt wurde, und ihre wichtigsten Anwendungssicherheitsprobleme im Code proaktiv zu beheben.
Wiz Code stellt auch eine Verbindung zu Code-Repositories und CI/CD-Pipelines her und scannt den gesamten Anwendungs-Stack und die SDLC-Sicherheitslage, von Code-Abhängigkeiten von Drittanbietern und Problemen mit der Lizenzkonformität bis hin zu Container-Images, IaC-Vorlagen und den Einstellungen von VCS- und CI/CD-Pipelines selbst, damit Sie Schwachstellen, Fehlkonfigurationen, Compliance-Probleme, sensible Daten, offengelegte Geheimnisse und und Malware.
Verwenden von Wiz Code in Kombination mit einem der Wiz-Codes SAST-Integrationspartnerwie Checkmarx, Cycode oder Jit bietet Sicherheitsteams vollständige Transparenz und Kontrolle über ihre Anwendungssicherheitslage von der Build-Zeit bis zur Laufzeit – ohne isolierte Tools oder Lücken in der Abdeckung.
Möchten Sie selbst sehen, wie Wiz Code alles schützen kann, was Sie erstellen und ausführen, vom Code bis zur Cloud? Vereinbaren Sie noch heute eine Demo.
Secure your cloud from code to production
Learn why CISOs at the fastest growing companies trust Wiz to accelerate secure cloud development.
