DAST, ou teste dinâmico de segurança de aplicativos, é uma abordagem de teste que envolve o teste de um aplicativo para diferentes vulnerabilidades de tempo de execução que surgem apenas quando o aplicativo está totalmente funcional. Esses problemas podem estar relacionados ao tempo de execução, código, dependências e muito mais.
Como um tipo de teste de caixa preta (o que significa que você não está ciente do que está sendo executado dentro do aplicativo quando tenta explorá-lo), o DAST adota uma abordagem de fora para dentro e simula cenários de ataque do mundo real, como injeções de SQL, scripts entre sites e problemas de autenticação.
Get the Application Security Best Practices [Cheat Sheet]
This 6-page guide goes beyond basics — it’s a deep dive into advanced, practical AppSec strategies for developers, security engineers, and DevOps teams.
Como o DAST realmente funciona?
O DAST se encaixa melhor na fase de teste de sua aplicação. O DAST geralmente vem depois de outras verificações de segurança e qualidade de código nos pipelines, como SAST.
O DAST envolve várias etapas:
1. Descobrimento
Nesta fase, um aplicativo é verificado para encontrar os pontos de entrada ou as interfaces que permitem que um usuário interaja com o aplicativo. Pense em APIs, formulários, interface do usuário ou URLs. Todos esses pontos de entrada serão testados na próxima etapa.
2. Simulação
Depois que as interfaces do aplicativo são identificadas na fase de descoberta, o aplicativo é exposto a diferentes tipos de ataques, como injeções de SQL, script entre sites (XSS), vazamentos de memória em tempo de execução, falsificação de solicitação entre sites (CSRF), Escalonamento de privilégios, configurações do servidor e problemas de TLS. As ferramentas DAST tentam executar esses ataques e se esforçam para obter acesso a partes críticas do aplicativo.
3. Análise
Depois que as simulações são realizadas, os resultados dessas simulações de ataque são analisados para determinar se há vulnerabilidades presentes ou não.
4. Relatórios
Na fase de relatório, as ferramentas DAST apresentam todas as vulnerabilidades identificadas e sugerem ferramentas e possíveis correções. Os relatórios podem ser integrados aos canais de comunicação da sua organização para alertar as equipes assim que uma vulnerabilidade for encontrada.
Todas essas etapas juntas formam uma verificação DAST completa, e os relatórios são um ponto de partida para investigações e correções, capacitando suas equipes a fortalecer a postura de segurança do seu sistema.
SAST vs. DAST
Para recapitular, o teste dinâmico de segurança de aplicativos (DAST) é uma técnica de teste de penetração que avalia um aplicativo'sem analisar seu código subjacente. Em vez de inspecionar a base de código, o DAST se concentra em executar e interagir com o software usando vetores de ataque conhecidos.
Por exemplo, o DAST testa um servidor HTTP enviando solicitações incorporadas com possíveis explorações para verificar se o aplicativo está vulnerável. Como o DAST não't examinar o código em si, ele'é independente de linguagem e é eficaz, independentemente da linguagem de programação ou das tecnologias usadas, tornando-o versátil em diferentes plataformas.
Embora o DAST tenda a ser mais lento do que o teste de segurança de aplicativos estáticos (SAST), ele pode detectar uma gama mais ampla de vulnerabilidades que não são aparentes para o SAST, como vulnerabilidades de tempo de execução que ocorrem em ambientes de produção. (Vulnerabilidades como suscetibilidade distribuída de negação de serviço, exposição de dados internos confidenciais ou configurações incorretas em serviços de terceiros.)
Por outro lado SAST vem antes do DAST durante o desenvolvimento e pipelines de CI/CD. O SAST analisa o próprio código-fonte e pode ser executado muito cedo em seus pipelines de DevSecOps. Com o SAST, o código é analisado para encontrar padrões que podem ser possíveis problemas. O SAST também pode ser combinado com fuzzing para resultados mais abrangentes.
DAST vs. IAST
O IAST, ou teste interativo de segurança de aplicativos, é uma combinação de metodologias SAST e DAST que podem agregar mais valor aos seus testes de segurança. O IAST analisa o código-fonte em busca de vulnerabilidades e também executa parte do código para identificar problemas e monitorar seu comportamento em tempo real. O IAST analisa o tempo de execução adicionando instrumentação para medir métricas importantes em diferentes pontos de código, ajudando a identificar problemas de segurança e indicar a gravidade do problema.
Benefícios do DAST
O teste dinâmico de segurança de aplicativos está muito próximo de situações de ataque em tempo real, portanto, pode ajudá-lo a capturar explorações que são realmente encontradas na natureza. Aqui está um resumo dos outros benefícios que o DAST traz para a mesa:
Vulnerabilidade de tempo de execução e ampla detecção de vulnerabilidade: Além do seu código, problemas graves podem ser encontrados em seu tempo de execução (e somente em seu tempo de execução). Isso torna o DAST realmente útil porque a verificação de vulnerabilidades em tempo de execução é a especialidade do DAST. O DAST também olha além do código de uma perspectiva externa e pode testar problemas como gerenciamento incorreto de sessão, falsificação de solicitação entre sites, redirecionamentos abertos, Log4Shelle muito mais.
Testes independentes de idioma: As ferramentas DAST não precisam entender a linguagem de codificação que você usou para criar seu aplicativo, elas podem identificar e explorar quaisquer vulnerabilidades, não importa o que aconteça. Isso facilita a implementação do DAST, simplificando seus fluxos de trabalho de teste.
Testes de terceiros: Você pode testar suas dependências para quaisquer problemas por meio das ferramentas DAST. (Como ele não precisa entender o funcionamento interno e precisa apenas de interfaces para iniciar a avaliação, é fácil usar o DAST em suas ferramentas de terceiros!)
Comportamento de ataque real: A maior força do DAST é a natureza de seus "ataques". As simulações que as ferramentas DAST realizam são muito próximas do comportamento real dos invasores.
Catch code risks before you deploy
Learn how Wiz Code scans IaC, containers, and pipelines to stop misconfigurations and vulnerabilities before they hit your cloud.
Limitações do DAST
Embora o DAST seja uma ótima opção para testes, ele vem com algumas desvantagens:
Falsos positivos em testes de segurança: O DAST pode desencadear muitos falsos positivos, criando muito trabalho para as equipes, que precisam vasculhar todos eles e decidir a quais alertas prestar atenção.
Detecção lenta: O DAST é muito lento em comparação com sua contraparte, SAST, e pode levar muito tempo para detectar problemas, tornando seus ciclos de implantação mais longos.
Oposto do deslocamento para a esquerda: A abordagem shift-left do SAST economiza muito tempo, mas o DAST é basicamente o oposto. Você pode iniciar apenas a análise DAST depois O código do aplicativo está completo, criado e implantado. Como ele vem após a implantação, identificar e rotear a correção de problemas para os proprietários de desenvolvimento relevantes é um processo demorado.
Nenhuma visão de código: Como o DAST não tem visibilidade do código em si, pode haver problemas que o DAST perde. É por isso que o SAST também é muito importante, e é uma boa ideia usar os dois e não confiar apenas em um.
DevOps Security Best Practices [Cheat Sheet]
In this 12 page cheat sheet we'll cover best practices in the following areas of DevOps: secure coding practices, infrastructure security, monitoring and response.
Download Cheat Sheet
Ferramentas DAST populares de código aberto
Existem muitas ferramentas populares de código aberto que você pode aproveitar para a análise DAST. Aqui estão alguns que estão em desenvolvimento contínuo:
| Tool | Description |
|---|---|
| OWASP ZAP | ZAP, or Zed Attack Proxy, is one of the most popular DAST tools. It can be easily integrated into your CI/CD security pipeline to analyze the behavior of your application. ZAP has a major community backing it, can perform other security testing like SAST, and can carry out code reviews as well. |
| Wapiti | Wapiti is another very popular open-source tool for scanning web applications. It covers a wide array of attacks, including some advanced attacks like TLS misconfigurations and Shellshock. (Note that Wapiti doesn’t have a GUI and is more suited to scheduled scans than real-time testing.) |
| Vega | Vega is also a free, open-source tool for dynamic application testing. Vega has APIs and GUI, which makes it user friendly. The downsides? Vega has limited support for modem JavaScript applications and can struggle with CI/CD integration. |
| w3af | w3af is billed as a complete ecosystem for auditing web applications. It comes with a lot of helpful features—from notification channels to reporting and alerting. w3af’s drawbacks are a lack of a GUI and limited support for C/CD. |
| Burp Suite | Burp Suite is used widely for security scanning and testing. Burp Suite is available as a community offering as well as a paid version. (With the paid version, you can get some extra automated scanning features.) For better control and ease of use, Burp Suite offers a GUI. Burp Suite boasts a vast number of features and attacks that it can analyze and perform. |
Fortaleça a segurança do seu aplicativo e SDLC com o Wiz Code
Embora as verificações DAST possam ser demoradas, elas agregam muito valor ao fortalecer a postura de segurança do aplicativo contra ameaças invasoras. Para manter a velocidade e a produtividade dos ciclos de implantação ágeis, as verificações DAST podem ser executadas diretamente após a implantação e, em seguida, ser repetidas de maneira contínua e assíncrona para relatar quaisquer vulnerabilidades de tempo de execução que possam surgir.
Não há dúvida de que o DAST pode ajudá-lo a fortalecer sua postura de segurança após a implantação de seus aplicativos, mas o DAST sozinho não é suficiente. É uma prática recomendada implementar uma abordagem proativa de segurança e executar um conjunto abrangente de verificações durante o tempo de build (código primário, código de terceiros, infraestrutura e configurações de segurança de pipeline) para garantir que você não esteja deixando seus sistemas expostos a agentes de ameaças, e é aí que Código Wiz entra.
O Wiz Code oferece feedback de segurança em tempo real aos desenvolvedores, enriquecido com insights da nuvem, diretamente no IDE e pull requests. Isso ajuda os desenvolvedores a antecipar o impacto de vulnerabilidades e segredos expostos depois que seu código for implantado e corrigir proativamente seus problemas de segurança de aplicativos mais impactantes no código.
O Wiz Code também se conecta a repositórios de código e pipelines de CI/CD, verificando toda a pilha de aplicativos e postura de segurança SDLC, desde dependências de código de terceiros e problemas de conformidade de licença até imagens de contêiner, modelos de IaC e as configurações dos próprios pipelines VCS e CI/CD para que você possa detectar vulnerabilidades, configurações incorretas, problemas de conformidade, dados confidenciais, segredos expostos, e malware.
Usando o Wiz Code em combinação com um dos Parceiros de integração SASTcomo Checkmarx, o Cycode ou Jit oferece às equipes de segurança visibilidade e controle completos sobre a postura de segurança de seus aplicativos, desde o tempo de criação até o tempo de execução, sem ferramentas isoladas ou lacunas na cobertura.
Quer ver por si mesmo como o Wiz Code pode proteger tudo o que você cria e executa, desde o código até a nuvem? Agende uma demonstração hoje mesmo.
Secure your cloud from code to production
Learn why CISOs at the fastest growing companies trust Wiz to accelerate secure cloud development.
