Definition „Dynamic Application Security Testing“ Was ist DAST?

Autor / Redakteur: zeroshope / Stephan Augsten

Der Begriff „Dynamic Application Security Testing“ oder kurz DAST beschreibt ein Verfahren, um die Sicherheit von Web-Applikationen zu überprüfen. Spezielle Programme simulieren externe Angriffe, um Schwächen aufzudecken. Das System hat diverse Vor- und Nachteile.

Firma zum Thema

Beim Dynamic Application Security Testing verbindet sich ein Scanner mit der zu testenden (Web-)Anwendung und simuliert externe Angriffe.
Beim Dynamic Application Security Testing verbindet sich ein Scanner mit der zu testenden (Web-)Anwendung und simuliert externe Angriffe.
(Bild: Sergey Nivens - stock.adobe.com)

Frei übersetzt bedeutet DAST soviel wie „dynamischer Sicherheitstest von Applikationen“. Konkret verbindet sich ein Scanner mit der fraglichen Anwendung und simuliert externe Angriffe, während diese gerade läuft. Daher rührt der Ausdruck „dynamisch“.

Da die Applikation von außen angegriffen wird, handelt es sich bei DAST um ein Black-Box-Verfahren. Der Code selbst ist für die Prüfsoftware unsichtbar. In der Regel werden deshalb sowohl statische (SAST) wie auch dynamische Tests durchgeführt, um für bestmögliche Sicherheit zu sorgen.

Mit dem Fokus auf WebApps und deren Funktion funktioniert das System unabhängig von der Sprache, in der entwickelt wurde. Es ist deshalb für die Entwickler möglich, mit den gängigen Tools auf die typischen Probleme zu testen. Für die Auswahl des Scanners für das eigene Vorhaben bietet das Benchmark-Projekt des OWASP passende Hilfestellungen. Dieses bewertet die Leistungsstärke der einzelnen Werkzeug in Bezug auf den konkreten Einsatzhintergrund.

Vorteile des Dynamic Application Security Testings

Folgende Vorzüge hat das DAST-Verfahren neben dem Umstand, dass die Programmiersprache keine Rolle spielt und das System folglich Technologie-unabhängig funktioniert:

  • Die Scanner finden Fehler in der Runtime-Umgebung.
  • Die Rate falschpositiver Ergebnisse ist gering.
  • Die Tools finden fehlerhafte Konfigurationen in prinzipiell funktionsfähigen Applikationen. Leistungsprobleme lassen sich auf diese Weise beispielsweise identifizieren, die andere Scanner nicht identifizieren können.
  • Die DAST-Programme können sowohl während der Entwicklung wie auch nachlaufend genutzt werden.

Die Scanner basieren grundsätzlich auf den identischen Konzepten, die echte Angreifer für ihre Malware nutzen. Sie geben deshalb verlässliche Rückmeldungen über Schwächen. Tests haben immer wieder gezeigt, dass die Mehrzahl der DAST-Tools die Top 10 der meisten Bedrohungen identifizieren können, die von der OWASP Foundation gelistet werden.

Nachteile des Dynamic Application Security Testings

Mit folgenden Schwächen hat das DAST-Konzept zu kämpfen:

  • Kaum skalierbar: Die Scanner sind darauf programmiert, bestimmte Attacken auf funktionsfähige Web-Apps durchzuführen und können in der Regel nur von Sicherheitsexperten angepasst werden. Sie bieten deshalb nur geringen Raum für individuelle Skalierungen.
  • Langsame Scan-Geschwindigkeit: DAST-Tools können fünf bis zu sieben Tage benötigen, bevor sie ihre Arbeit abgeschlossen haben.
  • Spät im Lebenszyklus: DAST-Programme finden einige Sicherheitslücken erst sehr spät im Entwicklungszyklus, die via SAST schon früher hätten entdeckt werden können. Die Kosten für die Behebung der entsprechenden Probleme sind höher als sie sein müssten.
  • Basiert auf bekannten Fehlern: Es dauert relativ lange, bis Tools auf neuartige Attacken scannen können.

Fazit: DAST-Scanner sind nur ein Baustein

Die Liste der Vor- und Nachteile des Dynamic Application Security Testings untermauert, was Sicherheitsexperten generell sagen: Einzelne Konzepte sind nur Bausteine eines Sicherheitskonzepts. DAST, SAST oder andere Testing-Ansätze können nicht nur isoliert genutzt werden, sondern müssen zusammenspielen.

(ID:47161523)