DAST, ou test dynamique de sécurité des applications, est une approche de test qui consiste à tester une application pour différentes vulnérabilités d’exécution qui n’apparaissent que lorsque l’application est entièrement fonctionnelle. Ces problèmes peuvent être liés au runtime, au code, aux dépendances, etc.
En tant que type de test en boîte noire (c’est-à-dire que vous n’êtes pas conscient de ce qui s’exécute à l’intérieur de l’application lorsque vous essayez de l’exploiter), DAST adopte une approche de l’extérieur vers l’intérieur et simule des scénarios d’attaque réels tels que les injections SQL, les scripts intersites et les problèmes d’authentification.
Get the Application Security Best Practices [Cheat Sheet]
This 6-page guide goes beyond basics — it’s a deep dive into advanced, practical AppSec strategies for developers, security engineers, and DevOps teams.
Comment DAST fonctionne-t-il réellement ?
DAST s’adapte le mieux à la phase de test de votre application. DAST intervient généralement après d’autres analyses de sécurité et de qualité du code dans les pipelines, telles que SAST.
DAST comporte plusieurs étapes :
1. Découverte
Dans cette phase, une application est analysée pour trouver les points d’entrée ou les interfaces qui permettent à un utilisateur d’interagir avec l’application. Pensez aux API, aux formulaires, à l’interface utilisateur ou aux URL. Tous ces points d’entrée seront testés à l’étape suivante.
2. Simulation
Une fois les interfaces applicatives identifiées dans la phase de découverte, l’application est exposée à différents types d’attaques telles que les injections SQL, Script intersite (XSS), fuites de mémoire d’exécution, falsification de requêtes intersites (CSRF), Élévation des privilèges, les configurations de serveur et les problèmes TLS. Les outils DAST tentent d’exécuter ces attaques et de s’efforcer d’accéder aux parties critiques de l’application.
3. Analyse
Une fois les simulations effectuées, les résultats de ces simulations d’attaque sont analysés pour déterminer s’il y a des vulnérabilités présentes ou non.
4. Rapports
Dans la phase de reporting, les outils DAST présentent toutes les vulnérabilités identifiées et suggèrent des outils et des correctifs potentiels. Le reporting peut être intégré aux canaux de communication de votre organisation pour alerter les équipes dès qu’une vulnérabilité est détectée.
Toutes ces étapes réunies permettent d’obtenir une analyse DAST complète, et les rapports sont un point de départ pour les enquêtes et les remédiations, permettant à vos équipes de renforcer la posture de sécurité de votre système.
SAST contre DAST
Pour rappel, le test de sécurité des applications dynamiques (DAST) est une technique de test d’intrusion qui permet d’évaluer une application'sans analyser son code sous-jacent. Au lieu d’inspecter la base de code, DAST se concentre sur l’exécution et l’interaction avec le logiciel à l’aide de vecteurs d’attaque connus.
Par exemple, DAST teste un serveur HTTP en envoyant des requêtes intégrées avec des exploits potentiels pour vérifier si l’application est vulnérable. Puisque DAST ne'examiner le code lui-même, il'est indépendant du langage et est efficace quel que soit le langage de programmation ou les technologies utilisées, ce qui le rend polyvalent sur différentes plates-formes.
Bien que DAST ait tendance à être plus lent que les tests de sécurité des applications statiques (SAST), il peut détecter un plus large éventail de vulnérabilités qui ne sont pas apparentes à SAST, comme les vulnérabilités d’exécution qui se produisent dans les environnements de production. (Vulnérabilités telles que la susceptibilité par déni de service distribué, l’exposition de données internes sensibles ou les erreurs de configuration des services tiers.)
D’un autre côté SAST passe avant DAST pendant le développement et les pipelines CI/CD. SAST analyse le code source lui-même et peut être exécuté très tôt dans vos pipelines DevSecOps. Avec SAST, le code est analysé pour trouver des modèles qui peuvent être des problèmes potentiels. SAST peut également être associé au fuzzing pour des résultats plus complets.
DAST contre IAST
L’IAST, ou test de sécurité interactif des applications, est une combinaison de méthodologies SAST et DAST qui peut ajouter plus de valeur à vos tests de sécurité. L’IAST analyse le code source à la recherche de vulnérabilités et exécute également une partie du code pour identifier les problèmes et surveiller son comportement en temps réel. IAST analyse le temps d’exécution en ajoutant des instruments pour mesurer les métriques importantes à différents points de code, ce qui permet à la fois d’identifier les problèmes de sécurité et d’indiquer la gravité du problème.
Avantages de DAST
Les tests dynamiques de sécurité des applications sont très proches des situations d’attaque en temps réel, ils peuvent donc vous aider à détecter les exploits qui se trouvent réellement dans la nature. Voici un résumé des autres avantages de DAST :
Détection des vulnérabilités d’exécution et des vulnérabilités étendues : En dehors de votre code, des problèmes graves peuvent être trouvés dans votre environnement d’exécution (et votre environnement d’exécution uniquement). Cela rend DAST vraiment utile, car l’analyse des vulnérabilités d’exécution est la spécialité de DAST. DAST regarde également au-delà du code d’un point de vue externe et peut tester des problèmes tels que la mauvaise gestion de session, la falsification de requêtes intersites, les redirections ouvertes, Log4Shell, et plus encore.
Tests indépendants de la langue : Les outils DAST n’ont pas besoin de comprendre le langage de codage que vous avez utilisé pour créer votre application : ils peuvent identifier et exploiter toutes les vulnérabilités, quelles qu’elles soient. Cela facilite la mise en œuvre de DAST, rationalisant ainsi vos flux de travail de test.
Tests par des tiers : Vous pouvez tester vos dépendances pour détecter tout problème via les outils DAST. (Comme il n’a pas besoin de comprendre le fonctionnement interne et n’a besoin que d’interfaces pour démarrer l’évaluation, il est facile d’utiliser DAST sur vos outils tiers !)
Comportement d’attaque réel : La plus grande force de DAST est la nature de ses « attaques ». Les simulations effectuées par les outils DAST sont très proches du comportement réel des attaquants.
Catch code risks before you deploy
Learn how Wiz Code scans IaC, containers, and pipelines to stop misconfigurations and vulnerabilities before they hit your cloud.
Limites de DAST
Bien que DAST soit une excellente option pour les tests, il présente quelques inconvénients :
Faux positifs dans les tests de sécurité : DAST peut déclencher un grand nombre de faux positifs, ce qui crée beaucoup de travail pour les équipes, qui doivent tous les passer au crible et décider des alertes auxquelles prêter attention.
Détection lente : DAST est très lent par rapport à son homologue, SAST, et peut prendre beaucoup de temps pour détecter les problèmes, ce qui allonge vos cycles de déploiement.
À l’opposé du décalage vers la gauche : L’approche décalée vers la gauche de SAST permet de gagner beaucoup de temps, mais DAST est fondamentalement le contraire. Vous pouvez uniquement démarrer l’analyse DAST après Le code de votre application est complet, généré et déployé. Étant donné qu’il intervient après le déploiement, l’identification et l’acheminement de la résolution des problèmes vers les propriétaires de développement concernés constituent un processus long.
Aperçu sans code : Étant donné que DAST n’a aucune visibilité sur le code lui-même, il peut y avoir des problèmes que DAST ne connaît pas. C’est pourquoi le SAST est également très important, et c’est une bonne idée d’utiliser les deux et de ne pas se fier à un seul.
DevOps Security Best Practices [Cheat Sheet]
In this 12 page cheat sheet we'll cover best practices in the following areas of DevOps: secure coding practices, infrastructure security, monitoring and response.
Download Cheat Sheet
Outils DAST open-source populaires
Il existe de nombreux outils open source populaires que vous pouvez exploiter pour l’analyse DAST. En voici quelques-uns qui sont en développement continu :
| Tool | Description |
|---|---|
| OWASP ZAP | ZAP, or Zed Attack Proxy, is one of the most popular DAST tools. It can be easily integrated into your CI/CD security pipeline to analyze the behavior of your application. ZAP has a major community backing it, can perform other security testing like SAST, and can carry out code reviews as well. |
| Wapiti | Wapiti is another very popular open-source tool for scanning web applications. It covers a wide array of attacks, including some advanced attacks like TLS misconfigurations and Shellshock. (Note that Wapiti doesn’t have a GUI and is more suited to scheduled scans than real-time testing.) |
| Vega | Vega is also a free, open-source tool for dynamic application testing. Vega has APIs and GUI, which makes it user friendly. The downsides? Vega has limited support for modem JavaScript applications and can struggle with CI/CD integration. |
| w3af | w3af is billed as a complete ecosystem for auditing web applications. It comes with a lot of helpful features—from notification channels to reporting and alerting. w3af’s drawbacks are a lack of a GUI and limited support for C/CD. |
| Burp Suite | Burp Suite is used widely for security scanning and testing. Burp Suite is available as a community offering as well as a paid version. (With the paid version, you can get some extra automated scanning features.) For better control and ease of use, Burp Suite offers a GUI. Burp Suite boasts a vast number of features and attacks that it can analyze and perform. |
Renforcez la sécurité de vos applications et de votre SDLC avec Wiz Code
Bien que les analyses DAST puissent prendre beaucoup de temps, elles apportent une grande valeur ajoutée au renforcement de la posture de sécurité de vos applications contre les menaces d’attaquants. Pour maintenir la vitesse et la productivité des cycles de déploiement agiles, les analyses DAST peuvent s’exécuter directement après le déploiement, puis être répétées de manière continue et asynchrone pour signaler toute vulnérabilité d’exécution susceptible de survenir.
Il ne fait aucun doute que DAST peut vous aider à renforcer votre posture de sécurité après le déploiement de vos applications, mais DAST seul ne suffit pas. Il est recommandé d’adopter une approche proactive de la sécurité et d’effectuer un ensemble complet d’analyses au moment de la création (code propriétaire, code tiers, infrastructure et paramètres de sécurité du pipeline) afin de vous assurer que vos systèmes ne sont pas exposés à des acteurs malveillants, et c’est là que se trouve le code. Wiz Code entre.
Wiz Code offre aux développeurs des informations de sécurité en temps réel, enrichies d’informations sur le cloud, directement dans l’IDE et les demandes de tirage. Cela permet aux développeurs d’anticiper l’impact des vulnérabilités et des secrets exposés une fois que leur code a été déployé et de remédier de manière proactive à leurs problèmes de sécurité des applications les plus importants dans le code.
Wiz Code se connecte également aux référentiels de code et aux pipelines CI/CD, en analysant l’ensemble de la pile d’applications et la posture de sécurité SDLC, des dépendances de code tiers et des problèmes de conformité des licences aux images de conteneurs, aux modèles IaC et aux paramètres des pipelines VCS et CI/CD eux-mêmes afin que vous puissiez détecter les vulnérabilités, les erreurs de configuration, les problèmes de conformité, les données sensibles, les secrets exposés, et les logiciels malveillants.
Utilisation de Wiz Code en combinaison avec l’un des outils Partenaires d’intégration SASTcomme Checkmarx, Cycode ou Jit offre aux équipes de sécurité une visibilité et un contrôle complets sur la posture de sécurité de leurs applications, de la création à l’exécution, sans outils cloisonnés ni lacunes de couverture.
Vous voulez voir par vous-même comment Wiz Code peut protéger tout ce que vous créez et exécutez, du code au cloud ? Planifiez une démo dès aujourd’hui.
Secure your cloud from code to production
Learn why CISOs at the fastest growing companies trust Wiz to accelerate secure cloud development.
