9 декабря, 2025, 16:33
DAST (Dynamic Application Security Testing, Динамический анализ безопасности приложений) — это метод тестирования безопасности, при котором работающее веб-приложение или программа анализируется «снаружи» в реальном времени, путем имитации атак на его работающие экземпляры. DAST сканирует приложение через его интерфейсы (например, HTTP/HTTPS), не имея доступа к исходному коду, чтобы найти уязвимости, которые могут быть использованы злоумышленником.
Возможности и характеристики DAST:
- Тестирование «извне» («черный ящик»): Не требует доступа к исходному коду, работает с уже скомпилированным и запущенным приложением.
- Обнаружение runtime-уязвимостей: Эффективно находит проблемы, проявляющиеся только в работающей системе, такие как SQL-инъекции, XSS, уязвимости аутентификации и сессий, ошибки конфигурации сервера.
- Контекстная оценка: Видит приложение так же, как его видит конечный пользователь или атакующий, учитывая развернутую среду (сервер, БД, фреймворки).
- Интеграция в CI/CD: Может автоматически запускаться на тестовых или staging-окружениях перед выпуском в продакшн.
- Сравнение с SAST: DAST и SAST являются взаимодополняющими технологиями. Если SAST проверяет «чертежи» (код) на этапе разработки, то DAST проверяет уже «построенный дом» (работающее приложение) на прочность и обнаруживает проблемы, невидимые в коде.
Современные DAST-решения часто комбинируются с технологиями IAST (Interactive Application Security Testing), которые используют агенты внутри приложения для более точного и детального анализа во время тестирования.
Упоминания
-
13 марта 2026
В RED Security WAF добавлена функция динамического анализа защищенности
Компания RED Security расширила функциональность сервиса по защите веб-приложений RED Security WAF технологией динамического анализа защищенности (DAST), которая позволяет не... -
20 февраля 2026
«Мы стали гораздо строже к себе»: CISO Cloud.ru Сергей Волков — об опыте сертификации процессов безопасной разработки ПО
Что за сертификат РБПО? Под сертификацией ФСТЭК обычно подразумевают проверку конкретной версии продукта, в том числе средства защиты информации. При... -
10 февраля 2026
Вышло обновление SafeERP 4.9.8 с новыми инструментами для защиты 1С и SAP
Компания «Газинформсервис» выпустила квартальное обновление SafeERP до версии 4.9.8. Программный комплекс предназначен для защиты корпоративных ERP-систем и процессов разработки, а... -
28 января 2026
Positive Technologies добавила в PT BlackBox Scanner генерацию рекомендаций по уязвимостям с помощью ИИ
Positive Technologies интегрировала в свой облачный DAST-анализатор PT BlackBox Scanner большую языковую модель собственной разработки. Теперь сервис не только выявляет... -
28 января 2026
Российские операционные системы могут стать мишенью для хакерских атак в 2026 году
Linux под прицелом В 2026 году, по прогнозам специалистов центра исследования киберугроз Solar 4RAYS группы компаний «Солар», число атак на... -
13 января 2026
УЦСБ и «Атомик Софт» внедрили DevSecOps в в «Альфа платформу»
Центр кибербезопасности ИТ-компании УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки (DevSecOps) в процесс создания «Альфа платформы» —... -
13 января 2026
«Волчары» из мира IT: как специалисты по кибербезопасности накручивают опыт
В сфере кибербезопасности молодые специалисты стали все чаще накручивать опыт, пытаясь занять более высокооплачиваемые места. Эта проблема становится массовой для...
