DAST

9 декабря, 2025, 16:33

DAST (Dynamic Application Security Testing, Динамический анализ безопасности приложений) — это метод тестирования безопасности, при котором работающее веб-приложение или программа анализируется «снаружи» в реальном времени, путем имитации атак на его работающие экземпляры. DAST сканирует приложение через его интерфейсы (например, HTTP/HTTPS), не имея доступа к исходному коду, чтобы найти уязвимости, которые могут быть использованы злоумышленником.

Возможности и характеристики DAST:

  • Тестирование «извне» («черный ящик»): Не требует доступа к исходному коду, работает с уже скомпилированным и запущенным приложением.
  • Обнаружение runtime-уязвимостей: Эффективно находит проблемы, проявляющиеся только в работающей системе, такие как SQL-инъекции, XSS, уязвимости аутентификации и сессий, ошибки конфигурации сервера.
  • Контекстная оценка: Видит приложение так же, как его видит конечный пользователь или атакующий, учитывая развернутую среду (сервер, БД, фреймворки).
  • Интеграция в CI/CD: Может автоматически запускаться на тестовых или staging-окружениях перед выпуском в продакшн.
  • Сравнение с SAST: DAST и SAST являются взаимодополняющими технологиями. Если SAST проверяет «чертежи» (код) на этапе разработки, то DAST проверяет уже «построенный дом» (работающее приложение) на прочность и обнаруживает проблемы, невидимые в коде.

Современные DAST-решения часто комбинируются с технологиями IAST (Interactive Application Security Testing), которые используют агенты внутри приложения для более точного и детального анализа во время тестирования.

Продолжение ниже

Боссы российского кибербеза

Упоминания