Application SecurityDynamic & Interactive Application Security Testing
Automatisierte Penetrationstests gegen Ihre Webanwendungen
Dynamic Application Security Testing (DAST) nutzt im Vergleich zu SAST den Black-Box-Ansatz, um Ihre Anwendung auf Sicherheitsschwachstellen zu überprüfen. Die Anwendung wird erst zur Laufzeit getestet, also dynamisch während des Betriebs. Dadurch wird das Verhalten der Anwendung überprüft, ohne den Quellcode zu kennen (Black-Box-Ansatz). DAST sollte daher besonders in der Test-Phase des Software Development Lifecycles (SDLC) eingesetzt werden, um neben Last- und Performance und Funktionstest mit DAST auch Sicherheitstests durchzuführen.
Mithilfe von Interactive Application Security Testing (IAST) können Sie den Black-Box-Ansatz von DAST auf einen Grey-Box-Ansatz erweitern: Bei IAST werden während den Tests zusätzliche Daten von der Anwendung erhoben, um die Ergebnisse von DAST zu präzisieren.
In Verbindung mit SAST kann so ein ganzheitlicher Überblick über das Sicherheitsniveau Ihrer Anwendungen gewonnen werden.
Ansprechpartner
Was ist Dynamic Application Security Testing?
Bei der dynamischen Sicherheitsanalyse (engl. „Dynamic Application Security Testing“) wird eine Anwendung – ähnlich zu Last- und Performance-Tests oder Funktionaltests – während der Laufzeit getestet.
Die eingesetzten Tools imitieren dabei einen Angreifer, welcher die laufende Anwendung nach Schwachstellen untersucht und führen gleichzeitig verschiedene Angriffe wie Cross-Site-Scripting (XSS) oder SQL-Injections durch. Anhand des Verhaltens der Anwendung während dieser Angriffe kann ein Bild davon gewonnen werden, inwieweit die Anwendung anfällig für diese Angriffe ist.
Im Vergleich zur statischen Sicherheitsanalyse einer Anwendung (SAST) werden hier echte Angriffe ausgeführt und nicht nur theoretisch anhand vom Quellcode betrachtet. Dadurch können Sie genau überprüfen, ob die mithilfe von SAST gefundenen Schwachstellen auch wirklich ausnutzbar sind.
Vorteile
- Es werden Fehler in der Laufzeit-Umgebung gefunden (wie z.B. schwache TLS-Verschlüsselung)
- Geringere False-Positive-Rate als bei SAST
- Es können gleichzeitig Sicherheitssysteme, die um die Anwendung herum zusätzlich gebaut sind (z.B. Network Intrusion Detection Systeme) auf korrekteFunktionalität geprüft werden
Nachteile
- Je nach Größe der Anwendung können die Scans sehr lange dauern, zum Teil mehrere Tage. Dadurch können eventuelle Änderungen während dieser Zeit nicht berücksichtigt werden.
- DAST kann erst recht spät im Entwicklungszyklus eingesetzt werden, da eine lauffähige Anwendung benötigt wird. Hier kann aber die statische Analyse (SAST) einer Anwendung helfen, um schon während der Quellcode-Entwicklung eine Übersicht zum Sicherheitsniveau zu bekommen.
Was ist Interactive Application Security Testing?
Die interaktive Sicherheitsanalyse (engl. „Interactive Application Security Testing“) erweitert die dynamische Analyse. Dazu werden neben den Daten, die der Scanner während des Testens mit DAST-Tools in den HTTP-Antworten bekommt, noch zusätzliche Systemdaten vom Anwendungsserver an den Scanner übergeben.
Dadurch gewinnt der Scanner tiefere Einblicke und kann weiterführende Informationen erhalten, wie zum Beispiel versteckte Pfade in der Anwendung oder Systemlog-Einträge. Mithilfe dieser Informationen können weiterführende Angriffe durchgeführt werden und die Ergebnisse besser eingeschätzt werden.
Bei den meisten Tools muss dazu ein Agent zusätzlich auf dem Anwendungsserver installiert werden, der diese Informationen bereitstellt.
Vorteile
- Eine noch geringere False-Positive-Rate als bei DAST ohne IAST
Nachteile
- Es muss ein zusätzlicher Agent installiert werden
Sie haben Fragen?
Gern stehen wir Ihnen mit Know-how, konkreten Unterstützungsleistungen und zugehörigen Lizenz- und Supportangeboten zur Verfügung.
