Wie funktioniert Dynamic Anwendung Security Testing (DAST)?
DAST-Lösungen identifizieren potenzielle Eingabefelder innerhalb einer Anwendung und senden dann verschiedene ungewöhnliche oder böswillige Eingaben an diese. Dazu können sowohl versuchte Ausnutzungen gängiger Arten von Schwachstellen gehören – etwa SQL-Injection-Befehle, Cross-Site-Scripting (XSS)-Schwachstellen und lange Eingabezeichenfolgen – als auch ungewöhnliche Eingaben, die Probleme bei der Eingabevalidierung und Speicherverwaltung innerhalb einer Anwendung aufdecken könnten.
Anhand der Reaktion der Anwendung auf verschiedene Eingaben erkennt das DAST-Tool, ob eine bestimmte Schwachstelle vorliegt oder nicht. Wenn beispielsweise ein SQL-Injection-Angriff unbefugten Zugriff auf Daten ermöglicht oder eine Anwendung aufgrund ungültiger oder fehlerhafter Eingaben abstürzt, deutet dies auf eine ausnutzbare Schwachstelle hin.
Warum DAST wichtig ist
DAST-Lösungen sind darauf ausgelegt, potenzielle Schwachstellen innerhalb einer ausgeführten Anwendung zu identifizieren. Dadurch ist es möglich, Konfigurations- oder Laufzeitschwachstellen zu finden, die die Funktionalität und Sicherheit der Anwendung beeinträchtigen können.
Vor-und Nachteile
DAST-Lösungen sind ein wesentlicher Bestandteil einer Sicherheitsstrategie für Unternehmensanwendungen. Zu den Hauptvorteilen einer DAST-Lösung gehören:
- Erkennen von Laufzeitproblemen: DAST-Scanner interagieren mit einer laufenden Anwendung und ermöglichen es ihr, sowohl Kompilierungs- als auch Laufzeitprobleme innerhalb einer Anwendung zu erkennen.
- Niedrige Falsch-Positiv-Raten: DAST identifiziert Schwachstellen, indem es sie ausnutzt, und ermöglicht so die Überprüfung, ob eine potenzielle Schwachstelle tatsächlich eine Bedrohung für die Funktionalität oder Sicherheit einer Anwendung darstellt.
- Sprachunabhängig: DAST-Lösungen testen die laufende Anwendung in einer Black-Box-Bewertung, was bedeutet, dass sie für Anwendungen verwendet werden kann, die in jeder Sprache und in jeder Umgebung geschrieben sind.
Trotz seiner zahlreichen Vorteile ist DAST keine umfassende Lösung. Zu den Hauptnachteilen von DAST gehören:
- Spätes Erscheinen in SDLC: DAST erfordert Zugriff auf eine laufende Anwendung, was bedeutet, dass es erst spät im Software Development Lifecycle (SDLC) ausgeführt werden kann, wenn die Behebung von Schwachstellen teurer ist.
- Ort der Schwachstelle: DAST-Lösungen können erkennen, dass in einer Anwendung eine Schwachstelle besteht, haben jedoch keinen Zugriff auf den Quellcode und können daher die genaue Position innerhalb der Codebasis nicht finden.
- Codeabdeckung: DAST-Lösungen bewerten eine laufende Anwendung, was bedeutet, dass sie möglicherweise Schwachstellen in Teilen des Codes übersehen, die nicht ausgeführt werden.
DAST vs. SAST
Static Application Security Testing (SAST) führt eine Analyse des Quellcodes einer Anwendung durch, anstatt mit einer laufenden Anwendung zu interagieren. DAST und SAST sind komplementäre Ansätze zur Anwendungssicherheit. Zu den Hauptunterschieden zwischen DAST und SAST gehören:
- Testtyp: SAST ist ein White-Box-Schwachstelle-Scan mit vollem Zugriff auf den Quellcode der Anwendung, während DAST eine Black-Box-Bewertung ohne Kenntnis der Interna der Anwendung ist.
- Erforderliche Code-Reife: SAST-Lösungen scannen den Quellcode und können so auf Teilcode ausgeführt werden. DAST-Lösungen können nur laufende Anwendungen analysieren, was ausgereifteren Code erfordert.
- Phase des SDLC: Die Fähigkeit von SAST, Quellcode zu analysieren, ermöglicht eine frühere Ausführung im SDLC als DAST, wofür eine laufende Anwendung erforderlich ist.
- Sanierungskosten: Da die SAST-Analyse früher im SDLC erfolgt, kostet es weniger, identifizierte Schwachstellen zu beheben als mit DAST. Je später im SDLC, desto mehr Code muss möglicherweise korrigiert werden und desto weniger Zeit steht dafür zur Verfügung.
- Schwachstellenabdeckung: DAST-Lösungen sind in der Lage, Laufzeit-Schwachstellen und Konfigurationsfehler zu identifizieren, was SAST-Lösungen nicht können, da während der SAST-Analyse kein Code ausgeführt wird.
- Standort der Schwachstelle: SAST-Lösungen scannen den Quellcode und wissen so genau, wo in einer Anwendung eine Schwachstelle liegt. DAST weiß nur, dass eine Schwachstelle existiert, kann aber nicht auf eine bestimmte Codezeile verweisen.
- Falsch positive Erkennungen: DAST interagiert mit einer Anwendung und ermöglicht so die Feststellung, ob eine potenzielle Schwachstelle tatsächlich Auswirkungen auf die Funktionalität einer Anwendung hat. SAST funktioniert nur auf Basis eines App-Modells und weist eine höhere Rate an Fehlalarmen auf.
Verbesserung der Anwendungssicherheit mit DAST
Starke Anwendungssicherheitspraktiken sind von entscheidender Bedeutung, um Cloud-basierte Workloads vor Ausbeutung zu schützen. DAST bietet die Möglichkeit, ein breites Spektrum an Schwachstellen zu erkennen, insbesondere in Kombination mit SAST. Durch die Identifizierung von Schwachstellen, bevor sie von einem Angreifer ausgenutzt werden können, senken SAST und DAST die Kosten der Behebung und ihre potenziellen Auswirkungen auf ein Unternehmen und seine Kunden erheblich.
Check Point CloudGuard ergänzt SAST und DAST Scannen von Schwachstellen mit Laufzeit-Anwendungsschutz für Cloud-basierte Workloads. CloudGuard AppSec analysiert jede Anfrage im Kontext und lernt, während sich die Anwendung Ihres Unternehmens weiterentwickelt.
Erfahren Sie mehr über Check Point CloudGuard AppSec und seine Fähigkeit, die Sicherheit der Cloud-basierten Anwendungen und Workloads Ihres Unternehmens zu verbessern, lesen Sie dieses E-Book. Dann, Melden Sie sich für eine kostenlose Demo an um sich selbst von den Möglichkeiten von CloudGuard zu überzeugen.
Feedback