What is Dynamic Application Security Testing (DAST)?

Les tests dynamiques de sécurité des applications (DAST) ou l'analyse dynamique du code sont conçus pour identifier les vulnérabilités en interagissant avec une application en cours d'exécution. Cela lui permet d'identifier les vulnérabilités de compilation et d'exécution qui ne sont détectables qu'au sein d'une application en cours d'exécution.

Planifier un démo LIRE LE LIVRE BLANC

What is Dynamic Application Security Testing (DAST)?

Comment fonctionne le test de sécurité dynamique application (DAST) ?

Les solutions DAST identifient les champs de saisie potentiels au sein d'une application et leur envoient ensuite diverses entrées inhabituelles ou malveillantes. Il peut s'agir de tentatives d'exploitation de vulnérabilités courantes - telles que les commandes d'injection SQL, les vulnérabilités XSS (cross-site scripting) et les chaînes de caractères longues - ou d'entrées inhabituelles susceptibles de révéler des problèmes de validation des entrées et de gestion de la mémoire au sein d'une application.

Sur la base de la réponse de l'application à diverses entrées, l'outil DAST détermine si elle contient ou non une vulnérabilité particulière. Par exemple, si une attaque par injection SQL permet un accès non autorisé aux données ou si une application se bloque en raison d'une entrée invalide ou mal formée, cela indique une vulnérabilité exploitable.

Pourquoi DAST est-il important ?

Les solutions DAST sont conçues pour identifier les vulnérabilités potentielles au sein d'une application en cours d'exécution. Cela permet de trouver des vulnérabilités de configuration ou d'exécution qui peuvent avoir un impact sur la fonctionnalité et la sécurité de l'application.

Avantages et inconvénients

Les solutions DAST sont un élément essentiel de la stratégie de sécurité de l'entreprise application. Voici quelques-uns des principaux avantages d'une solution DAST :

  • Détection des problèmes d'exécution : Les scanners DAST interagissent avec une application en cours d'exécution, ce qui leur permet de détecter les problèmes liés à la compilation et à l'exécution de l'application.
  • Faible taux de faux positifs : DAST identifie les vulnérabilités en les exploitant, ce qui lui permet de vérifier qu'une vulnérabilité potentielle constitue effectivement une menace pour la fonctionnalité ou la sécurité d'une application.
  • Agnostique sur le plan linguistique : Les solutions DAST testent l'exécution de application dans le cadre d'une évaluation en boîte noire, ce qui signifie qu'elles peuvent être utilisées pour application écrit dans n'importe quel langage et dans n'importe quel environnement.

Malgré ses nombreux avantages, DAST n'est pas une solution complète. Les principaux inconvénients de DAST sont les suivants :

  • Apparition tardive dans le SDLC : DAST nécessite l'accès à une application en cours d'exécution, ce qui signifie qu'il ne peut être exécuté qu'à un stade avancé du cycle de développement du logiciel (SDLC), lorsque les vulnérabilités sont plus coûteuses à corriger.
  • Localisation de la vulnérabilité : Les solutions DAST peuvent identifier l'existence d'une vulnérabilité dans une application, mais elles n'ont pas accès au code source et ne peuvent donc pas trouver l'emplacement exact dans la base de code.
  • Couverture du code : Les solutions DAST évaluent une application en cours d'exécution, ce qui signifie qu'elles peuvent passer à côté de vulnérabilités dans des parties du code qui ne sont pas exécutées.

DAST vs. SAST

Les tests statiques de sécurité des applications (SAST) analysent le code source d'une application plutôt que d'interagir avec une application en cours d'exécution. DAST et SAST sont des approches complémentaires de la sécurité sur le site application. Les principales différences entre DAST et SAST sont les suivantes :

  • Type de test : SAST est une analyse de vulnérabilité en boîte blanche avec un accès complet au code source de l'application, tandis que DAST est une évaluation en boîte noire sans connaissance des éléments internes de l'application.
  • Échéance du code requise : Les solutions SAST analysent le code source, ce qui leur permet de fonctionner sur un code partiel. Les solutions DAST ne peuvent analyser que le site application, ce qui nécessite un code plus mature.
  • Phase du cycle de développement durable : La capacité de SAST à analyser le code source permet de l'effectuer plus tôt dans le SDLC que DAST, qui nécessite une application en cours d'exécution.
  • Coût de l'assainissement : Étant donné que l'analyse SAST intervient plus tôt dans le cycle de développement durable, la correction des vulnérabilités identifiées coûte moins cher que dans le cas de l'analyse DAST. Plus on avance dans le cycle de développement durable, plus il y a de code à corriger et moins on dispose de temps pour le faire.
  • Couverture de la vulnérabilité : Les solutions DAST sont capables d'identifier la vulnérabilité au moment de l'exécution et les erreurs de configuration, ce que les solutions SAST ne peuvent pas faire puisque le code n'est pas en cours d'exécution pendant l'analyse SAST.
  • Localisation de la vulnérabilité : Les solutions SAST analysent le code source, ce qui leur permet de savoir exactement où se trouve une vulnérabilité dans une application. DAST sait seulement qu'une vulnérabilité existe, mais ne peut pas pointer vers une ligne de code particulière.
  • Détections de faux positifs : DAST interagit avec une application, ce qui lui permet de déterminer si une vulnérabilité potentielle a réellement un impact sur la fonctionnalité de l'application. SAST ne fonctionne que sur la base d'un modèle d'application et présente un taux plus élevé de faux positifs.

Améliorer la sécurité de application avec DAST

De solides pratiques de sécurité sur application sont essentielles pour protéger les charges de travail basées sur cloudcontre l'exploitation. DAST permet de détecter un large éventail de vulnérabilités, en particulier lorsqu'il est combiné à SAST. En identifiant les vulnérabilités avant qu'elles ne puissent être exploitées par un attaquant, SAST et DAST réduisent considérablement les coûts de remédiation et leurs impacts potentiels sur une organisation et ses clients.

Check Point CloudGuard complète SAST et DAST analyse de la vulnérabilité avec la protection de application en cours d'exécution pour les charges de travail basées sur le cloud. CloudGuard AppSec analyse chaque demande dans son contexte et apprend au fur et à mesure de l'évolution du site application de votre entreprise.

Pour en savoir plus sur Check Point CloudGuard AppSec et sa capacité à améliorer la sécurité des charges de travail et des sites application basés sur le cloud de votre organisation, consultez cet ebook. Ensuite, inscrivez-vous pour un démo gratuit pour découvrir par vous-même les capacités de CloudGuard.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK