Dynamic Application Security Testing (DAST) nutzt im Vergleich zu SAST den Black-Box-Ansatz, um Ihre Anwendung auf Sicherheitsschwachstellen zu überprüfen. Die Anwendung wird erst zur Laufzeit getestet, also dynamisch während des Betriebs. Dadurch wird das Verhalten der Anwendung überprüft, ohne den Quellcode zu kennen (Black-Box-Ansatz). DAST sollte daher besonders in der Test-Phase des Software Development Lifecycles (SDLC) eingesetzt werden, um neben Last- und Performance und Funktionstest mit DAST auch Sicherheitstests durchzuführen.
Mithilfe von Interactive Application Security Testing (IAST) können Sie den Black-Box-Ansatz von DAST auf einen Grey-Box-Ansatz erweitern: Bei IAST werden während den Tests zusätzliche Daten von der Anwendung erhoben, um die Ergebnisse von DAST zu präzisieren.
In Verbindung mit SAST kann so ein ganzheitlicher Überblick über das Sicherheitsniveau Ihrer Anwendungen gewonnen werden.
Bei der dynamischen Sicherheitsanalyse (engl. „Dynamic Application Security Testing“) wird eine Anwendung – ähnlich zu Last- und Performance-Tests oder Funktionaltests – während der Laufzeit getestet.
Die eingesetzten Tools imitieren dabei einen Angreifer, welcher die laufende Anwendung nach Schwachstellen untersucht und führen gleichzeitig verschiedene Angriffe wie Cross-Site-Scripting (XSS) oder SQL-Injections durch. Anhand des Verhaltens der Anwendung während dieser Angriffe kann ein Bild davon gewonnen werden, inwieweit die Anwendung anfällig für diese Angriffe ist.
Im Vergleich zur statischen Sicherheitsanalyse einer Anwendung (SAST) werden hier echte Angriffe ausgeführt und nicht nur theoretisch anhand vom Quellcode betrachtet. Dadurch können Sie genau überprüfen, ob die mithilfe von SAST gefundenen Schwachstellen auch wirklich ausnutzbar sind.
Die interaktive Sicherheitsanalyse (engl. „Interactive Application Security Testing“) erweitert die dynamische Analyse. Dazu werden neben den Daten, die der Scanner während des Testens mit DAST-Tools in den HTTP-Antworten bekommt, noch zusätzliche Systemdaten vom Anwendungsserver an den Scanner übergeben.
Dadurch gewinnt der Scanner tiefere Einblicke und kann weiterführende Informationen erhalten, wie zum Beispiel versteckte Pfade in der Anwendung oder Systemlog-Einträge. Mithilfe dieser Informationen können weiterführende Angriffe durchgeführt werden und die Ergebnisse besser eingeschätzt werden.
Bei den meisten Tools muss dazu ein Agent zusätzlich auf dem Anwendungsserver installiert werden, der diese Informationen bereitstellt.
Gern stehen wir Ihnen mit Know-how, konkreten Unterstützungsleistungen und zugehörigen Lizenz- und Supportangeboten zur Verfügung.