Was sind dynamische Anwendungssicherheitstests (DAST)?
Dynamic Application Security Testing (DAST) ist ein Verfahren, das aktiv laufende Anwendungen mit Penetrationstests untersucht, um mögliche Sicherheitslücken zu erkennen.
Webanwendungen unterstützen heute viele geschäftskritische Geschäftsprozesse, von öffentlich zugänglichen E-Commerce-Geschäften bis hin zu internen Finanzsystemen. Diese Webanwendungen können zwar ein dynamisches Geschäftswachstum ermöglichen, weisen jedoch häufig potenzielle Schwachstellen auf, die, wenn sie nicht identifiziert und nicht behoben werden, schnell zu einer schädlichen und kostspieligen Datenverletzung führen können.
Um dieser wachsenden Bedrohung zu begegnen, setzen Unternehmen zunehmend DAST-Tools (Dynamic Application Security Testing) ein, um die Entwicklung von Webanwendungen sicherer zu gestalten. DAST-Tools bieten Einblicke in das Verhalten Ihrer Webanwendungen während der Produktion und ermöglichen es Ihrem Unternehmen, potenzielle Schwachstellen zu beheben, bevor ein Hacker sie zur Durchführung eines Angriffs verwendet. Während sich Ihre Webanwendungen weiterentwickeln, scannen DAST-Lösungen sie weiter, damit Ihr Unternehmen aufkommende Probleme sofort identifizieren und beheben kann, bevor sie zu ernsthaften Risiken werden.
Warum benötigen Sie ein DAST-Tool?
Angriffe auf Webanwendungen erhalten möglicherweise nicht die gleichen Schlagzeilen wie Ransomware-Angriffe, stellen jedoch ohne Frage eine große Bedrohung für Unternehmen aller Art dar. Einer der häufigsten webbasierten Angriffe ist SQL Injection (SQLi), bei dem ein Gegner die vollständige Kontrolle über die Webanwendungsdatenbank eines Unternehmens erlangen kann, indem er beliebigen SQL-Code in eine Datenbankabfrage einfügt.
Ein weiterer ist Cross-Site-Scripting (XSS), bei dem Angreifer ihren eigenen Code in eine Webanwendung einfügen, mit der sie dann Benutzeranmeldeinformationen, Sitzungscookies oder andere vertrauliche Informationen stehlen können – ohne dass der Benutzer oder das Unternehmen eine Ahnung davon haben, was passiert ist.
Es ist bekannt, dass Hacker auf Content-Management-Systeme und E-Commerce-Plattformen abzielen, insbesondere weil sie eine Konzentration von Sicherheitslücken aufweisen können, die, sobald sie entdeckt wurden, leicht immer wieder ausgenutzt werden können. Sobald ein Webanwendungsangriff ausgeführt wird, kann es sein, dass das Sicherheitsteam ihn einige Zeit nicht erkennt.
In der Zwischenzeit hat der Angreifer die Freiheit, so viel Chaos wie möglich anzurichten und sich selbst mit sensiblen Unternehmens- und sogar Kundendaten zu befassen, die möglicherweise in der Datenbank hinter der Webanwendung enthalten sind, z. B. Kreditkartennummern oder personenbezogene Daten (PII).
Unglücklicherweise für Unternehmen können selbst relativ ungelernte Hacker diese Art von Angriffen leicht starten, und mit der Aussicht auf lukrative Zahltage sind sie besonders motiviert, dies zu tun. Sie suchen normalerweise nach leicht ausnutzbaren Schwachstellen in einer Webanwendung, wie sie beispielsweise in den OWASP Top 10 zu finden sind, mit denen sie einen Cyberangriff durchführen können.
DAST-Tools funktionieren auf ähnliche Weise und geben Ihren Sicherheits- und Entwicklungsteams einen zeitnahen Einblick in das Anwendungsverhalten und potenzielle Schwachstellen, die ausgenutzt werden könnten, bevor ein unternehmungslustiger Hacker sie entdeckt und nutzt.
Wie DAST-Tools die Sicherheit von Webanwendungen verbessern
DAST: Aktuelles aus dem Rapid7 Blog