Was bedeutet
Dynamic Application Security Testing (DAST)?

Dynamische Anwendungssicherheitstests

Topics DevSecOps DAST

Inhalt

Übersicht Wie DAST funktioniert Vorteile von DAST in der Anwendungssicherheit DAST im Vergleich zu anderen Testmethoden So implementieren Sie DAST in Ihrer Organisation DAST & die JFrog Platform
Software-Supply-Chain-State-of-the-Union-2024-Cover.png

Zum Stand der Dinge derSoftware-Lieferkette 2024

Input von über 1.200 Security-, Development- und Operations-Experten, die Analysen des JFrog-Security-Research-Teams und die Daten von Artifactory kombiniert in einem Report, der Aufschluss über den Stand der Sicherheit in der Software-Lieferkette gibt

Jetzt herunterladen

Definition

Dynamic Application Security Testing, kurz DAST, ist darauf ausgelegt, Anwendungen in Echtzeit unter Betriebsbedingungen zu testen.

Übersicht

Ein dynamischer Ansatz bei Sicherheitstests soll gewährleisten, dass Applikationen auf die neuesten Bedrohungen hin getestet werden. Das führt zu einem umfassenden Schutzschirm, der Entwickler, Betrieb und Sicherheit dabei hilft, Anwendungen vor Exploits zu schützen und somit die allgemeine Sicherheitslage zu verbessern und das Risiko von Cyberangriffen zu verringern.

Die Testumgebung

Für die DAST-Testumgebung braucht man eine laufende Anwendung, die dann durch die Simulation von realen Angriffen auf Schwachstellen hin gescannt wird. Im Gegensatz zu statischen Tests, bei denen der Quellcode untersucht wird, interagiert das DAST-Verfahren mit der Anwendung während sie ausgeführt wird, um Schwachstellen aufzuspüren, die nur dann auftreten können, wenn die Anwendung läuft. Für diesen Prozess werden in der Regel automatisierte Tools verwendet, die die Anwendung über ihre Benutzeroberfläche prüfen, indem sie verschiedene Eingaben schicken und die Antworten überprüfen, um potenzielle Schwachstellen wie Cross-Site-Scripting (XSS), SQL-Injection und andere häufige Schwachstellen zu ermitteln.

Der Test-Prozess

Der Prozess beginnt in der Regel mit der Auswahl und Konfiguration der Testtools, gefolgt von der Definition des Testumfangs, d. h. der Ermittlung der zu testenden Endpunkte und Funktionalitäten der Anwendung. Im Anschluss daran führen die Tester den DAST-Scan durch, mit dem das Verhalten einer Applikation unter verschiedenen Bedingungen systematisch evaluiert wird. Nach Abschluss des Scans wird ein detaillierter Bericht erstellt, der alle gefundenen Schwachstellen zusammen mit Empfehlungen zur Behebung auflistet. Unternehmen können dann die gefundenen Schwachstellen nach dem Schweregrad des Risikos einstufen und die Fixes in ihren Entwicklungszyklus integrieren, um so die Sicherheit der Anwendung zu verbessern.

Wer nutzt DAST?

DAST wird von allen Akteuren genutzt, die am Softwareentwicklungszyklus und an der Überprüfung der Sicherheit beteiligt sind. Das beinhaltet in aller Regel:

  • Software Entwickler nutzen dynamische Anwendungssicherheitstests, um Schwachstellen möglichst früh im Entwicklungsprozess zu finden und zu beheben.
  • Sicherheitsexperten simulieren mit Dynamic Application Security Testing Angriffe auf laufende Anwendungen, um Schwachstellen zu identifizieren, die von Angreifern ausgenutzt werden könnten.
  • DevOps Teams integrieren DAST in die CI/CD-Pipeline, um Sicherheitsprobleme in allen Phasen der Software-Lieferkette zu erkennen.

Im Allgemeinen wird DAST von allen Akteuren im Softwareentwicklungsprozess eingesetzt, die an der Verbesserung der Anwendungssicherheit, der Erkennung potenzieller Schwachstellen und der Verbesserung der allgemeinen Sicherheitslage beteiligt sind.

Wie DAST funktioniert

Scanning Techniken

DAST setzt verschiedene Scan-Techniken ein, um Schwachstellen in Webanwendungen effektiv zu identifizieren. Eine der wichtigsten Methoden ist der Blackbox-Testing-Ansatz, bei dem das DAST-Tool mit der Anwendung aus einer externen Perspektive interagiert, ohne auf den Quellcode oder die zugrunde liegende Architektur zugreifen zu können. Während des Scans stellen die Tools eine Reihe von Anfragen an die Anwendung, darunter sowohl valide als auch bösartige Eingaben, um zu beobachten, wie die Anwendung reagiert. Dann analysieren diese Tools die Antworten auf Hinweise auf Probleme wie Fehlermeldungen, unerwartetes Verhalten oder Datenlecks und helfen so, Schwachstellen in der Laufzeitumgebung der Anwendung zu finden.

Eine andere wichtige Technik ist das „Fuzzing“, bei dem eine große Menge an zufälligen oder halb zufälligen Dateneingaben an die Endpunkte der Anwendung geschickt wird. Fuzzing ist eine Softwaretesttechnik, bei der ungültige, unerwartete oder zufällige Dateneingaben verwendet werden, die ein unerwartetes Verhalten oder Abstürze provozieren und so Schwachstellen aufzudecken, die durch herkömmliche Testmethoden möglicherweise nicht gefunden werden.

Darüber hinaus kann Dynamic Application Security Testing auch das Sitzungsmanagement einbeziehen, um zu bewerten, wie eine Anwendung mit Benutzersitzungen und Authentifizierungstoken umgeht. Dabei wird nach Schwachstellen gesucht, wie z. B. Session Fixation, bei der ein Angreifer einem Benutzer eine Session-ID unterschiebt, um dann unbefugten Zugriff auf dessen Benutzerkonto zu erhalten, oder Session Hijacking, bei dem ein Angreifer ein gültiges Session-Token bereitstellt, um sich als legitimer Benutzer auszugeben.

Interpretation der Scan-Ergebnisse

Die Interpretation ist eine kritische Phase, in der die Analysten die Ergebnisse sorgfältig prüfen, um die entdeckten Schwachstellen zu verstehen. Das Ergebnis eines jeden Scans ist in der Regel ein detaillierter Bericht, in dem die gefundenen Schwachstellen, ihre potenziellen Auswirkungen und die Stellen innerhalb der Anwendung, an denen sie gefunden wurden, aufgelistet sind.
Jede Schwachstelle wird dabei für gewöhnlich mit einem Schweregrad versehen, der meist mit den Labels niedrig, mittel, hoch oder kritisch angegeben wird, je nach dem potenziellen Schaden, den die Ausnutzung der Vulnerability verursachen könnte. Der Report sollte dazu auch eine Beschreibung der Probleme, die Bedingungen, unter denen sie entdeckt wurden, und alle während der Tests beobachteten Muster enthalten.

Vorteile von DAST in der Anwendungssicherheit

Erkennung gängiger Schwachstellen

DAST erkennt durch den Fokus auf das Verhalten in der Laufzeit recht zuverlässig ein breites Spektrum häufiger Sicherheitslücken wie SQL-Injection, Cross-Site-Scripting (XSS) oder Cross-Site-Request-Forgery (CSRF).

Prävention von Security Breaches

DAST spielt eine entscheidende Rolle bei der Vermeidung von Sicherheitsverletzungen und Datenlecks, indem es laufende Anwendungen während ihrer Betriebsphase aktiv auf Schwachstellen untersucht. Durch das Aufspüren von Schwachstellen, bevor diese von böswilligen Akteuren ausgenutzt werden können, können Organisationen Probleme proaktiv beheben und so das Risiko von Datenlecks erheblich verringern und die Gesamtintegrität ihrer Anwendungen sicherstellen.

Verbesserung der Anwendungssicherheit insgesamt

DAST verbessert die Sicherheit von Anwendungen insgesamt erheblich, weil eine kontinuierliche und umfassende Bewertung von Anwendungen in Echtzeit möglich ist, die Einhaltung von Sicherheitsstandards gewährleistet wird und damit eine Kultur ständiger Wachsamkeit in Bezug auf die Anwendungssicherheit geschaffen wird. Dieser proaktive Ansatz ermöglicht es den Entwicklungsteams, Sicherheit in SDLC zu integrieren und so Sicherheitsbewusstsein und eine Kultur von  Best Practices zu fördern.

DAST im Vergleich zu anderen Testmethoden

Vergleich von DAST und SAST

DAST und Static Application Security Testing (SAST) sind zwei weit verbreitete Methoden im Bereich Anwendungssicherheit, die unterschiedliche, sich jedoch ergänzende Funktionen erfüllen. DAST ist besonders effektiv bei der Entdeckung von Schwachstellen, die bei der Ausführung einer Applikation auftreten, so dass die Sicherheitsteams beurteilen können, wie sich die Anwendung unter den Bedingungen eines Angriffs verhält. Im Gegensatz dazu untersucht SAST den Quell- oder Binärcode der Anwendung, ohne sie auszuführen, und identifiziert potenzielle Sicherheitsschwachstellen in früheren Entwicklungsstadien, so dass die Entwickler Probleme schon der Programmierphase beheben können, noch bevor die Software überhaupt bereitgestellt wird.

Unterschiede zwischen DAST und IAST

Während sich DAST auf das Scannen einer laufenden Anwendung aus einer externen Perspektive konzentriert, kombiniert IAST (Interactive Application Security Testing) Elemente sowohl dynamischer als auch statischer Tests, indem es Anwendungen während der Laufzeit intern überwacht. So lassen sich der Code der Anwendung und ihr Verhalten gleichzeitig analysieren, was kontextbezogene Einblicke in Schwachstellen ermöglicht. Diese interne Perspektive ermöglicht es IAST, auch tiefer liegende Probleme in der Anwendung zu erkennen, einschließlich komplexer Logikfehler und Schwachstellen, die durch Code-Interaktionen entstehen.

Die Rolle Dynamischer Anwendungssicherheitstests im SDLC

Die Einbindung von DAST in den SDLC umfasst die Integration von Sicherheitstests in jeder Phase der Entwicklung. Dieses Vorgehen steht im Einklang mit dem Trend zu „Shift Left“, was nichts anderes bedeutet, als die Identifizierung und Lösung von Sicherheitsproblemen so früh wie möglich im Entwicklungsprozess zu beginnen.

Weil DAST ein kontinuierliches Security-Feedback liefert, trägt es erheblich zur Entwicklung sicherer Applikationen bei.

So implementieren Sie DAST in Ihrer Organisation

Auswahl des richtigen DAST-Tools

Wenn Sie ein DAST-Tool für Ihre Organisation auswählen, sollten Sie verschiedene Aspekte berücksichtigen, um sicherzustellen, dass es den spezifischen Anforderungen und den Sicherheitsvorgaben Ihrer Organisation entspricht. Hier einige wichtige Punkte, die zu beachten sind:

  1. Kompatibilität und Integrierbarkeit – Das DAST-Tool sollte sich leicht in bereits bestehende Entwicklungs- und Testumgebungen integrieren lassen und mit den in Ihrem Unternehmen verwendeten Programmiersprachen, Frameworks und Plattformen kompatibel sein.
  2. Umfang und Features – Beurteilen Sie, ob das Tool in der Lage ist, möglichst viele Schwachstellen zu erkennen, z. B. die OWASP Top Ten-Schwachstellen, und ob es Tests sowohl für einfache als auch für komplexe Anwendungen, einschließlich APIs und Microservices, unterstützt.
  3. Nutzerfreundlichkeit und Konfigurationsmöglichkeiten – Benutzeroberfläche und Konfigurationsprozesse sollten es Sicherheits- und Entwicklungsteams möglichst leicht machen, ihre Tests effizient einzurichten, auszuführen und zu interpretieren. Eine übersichtliche Dokumentation, Tutorials und Support helfen beim reibungslosen Aufsetzen.
  4. Reporting und Analytics: Das Tool sollte möglichst umfassende und konkrete Berichte liefern, einschließlich Dashboards und Visualisierungen, um die Ergebnisse benutzerfreundlich, klar und verständlich darstellen zu können.
  5. Skalierbarkeit und Performance: Die Lösung sollte mit den Anforderungen des Unternehmens skalierbar sein, um bei steigendem Bedarf auch ein höheres Volumen an Scans zu schaffen. Auch die Leistungsfähigkeit, z. B. die Geschwindigkeit und die Ressourcennutzung, sollte bei der Auswahl des DAST Tools berücksichtigt werden.
  6. Compliance und Standards: Bei Unternehmen in stark regulierten Branchen muss sichergestellt werden, dass das Tool die entsprechenden Compliance-Anforderungen und Branchenstandards wie PCI DSS, HIPAA oder DSGVO erfüllt.
  7. Support und Community: Ein solider Kundensupport und eine aktive Community erhöhen die Wahrscheinlichkeit einer erfolgreichen Implementierung. Achten Sie daher auch auf einen Support, der schnell antwortet und sich auch aktiv in die Community einbringt.

Wenn Unternehmen diese Punkte berücksichtigen, können sie ein DAST-Tool auswählen, das nicht nur ihre Sicherheitslage verbessert, sondern auch ihre Entwicklungsprozesse ergänzt und mit ihren allgemeinen Geschäftszielen in Einklang steht.

Integration von DAST in DevOps-Workflows

Die Integration von Dynamic Application Security Testing Tools in verschiedene DevOps-Workflows bringt mehrere Herausforderungen mit sich, die Unternehmen unbedingt adressieren sollten, um für ein verbesserte Sicherheit zu sorgen, ohne die Geschwindigkeit und Agilität ihrer Entwicklung zu beeinträchtigen:

  • Tool-Kompatibilität und Automatisierung:  Tool-Kompatibilität und Automatisierung – Sicherzustellen, dass DAST-Tools nahtlos mit bestehenden DevOps-Tools und -Prozessen zusammenarbeiten, kann eine Herausforderung sein. Um Störungen im Workflow zu vermeiden und die Effizienz zu maximieren, müssen Unternehmen die Kompatibilität von DAST-Lösungen mit Ihren CI/CD-Pipelines und Automatisierungs-Frameworks prüfen.
  • Informationsflut und Priorisierung:  DAST-Tools können eine große Menge an Ergebnissen liefern, was zu einer Flut an Daten führt. Teams müssen daher Prozesse für eine effektive Kategorisierung und Priorisierung von Schwachstellen entwickeln, um sicherzustellen, dass die dringendsten Probleme umgehend angegangen werden, ohne die Entwickler zu überfordern.
  • Strukturelle Widerstände:  Entwicklungs- und Operationsteams sträuben sich möglicherweise dagegen, Security Checks in ihre Workflows zu integrieren, weil sie diese als Hürden oder als Behinderung ihrer CI/CD-Prozessen betrachten. Diese Barriere zu überwinden, erfordert eine gezielte Kommunikation über die Wichtigkeit von Sicherheit und wie sie integriert werden kann, ohne die Arbeitsabläufe zu beeinträchtigen.

Proactively tackling these challenges, helps teams build a secure DevOps environment and foster a culture that provides enhanced security while maintaining both speed and quality in software development.

Best Practices für eine effektive DAST-Implementierung

Eine effektive Implementierung dynamische Anwendungssicherheitstests erfordert eine sorgfältige Planung und die Einhaltung von Best Practices:

Möglichst frühe Integration von DAST in den SDLC
DAST wird zwar in der Regel bei laufenden Anwendungen durchgeführt, aber eine Integration möglichst frühzeitig innerhalb des Entwicklungsprozess ermöglicht ein unmittelbares Feedback zu Sicherheitsschwachstellen.

Automatisierte Scans in CI/CD-Pipelines
Eine Automatisierung von DAST-Scans innerhalb der CI/CD-Pipelines führt zu konsistenten Tests der Anwendungen, sobald Code-Änderungen erfolgen und stellt sicher, dass Schwachstellen in Echtzeit erkannt und behoben werden.

Priorisierung von Ergebnissen und Lösungen
DAST kann eine Flut von Ergebnissen liefern, von denen viele unter Umständen gar kein großes Risiko bergen. Durch die Anwendung eines risikobasierten Ansatzes lassen sich Schwachstellen nach Schweregrad, Ausnutzbarkeit und Impact für die Organisation priorisieren.

Verbesserte Kollaboration der Teams
Die Zusammenarbeit zwischen Entwicklungs-, Sicherheits- und Operationsteams sollte während des gesamten DAST-Implementierungsprozesses intensiviert werden. Eine regelmäßige Kommunikation und die gemeinsame Zuständigkeit für Security fördern auch die gemeinsame Verantwortung für die Anwendungssicherheit.

Review and Update Requirements
Sicherheitsprozesse entwickeln sich ständig weiter. Eine regelmäßige Überprüfung und Aktualisierung der DAST-Tools, Konfigurationen, Scanning-Techniken und Sicherheitsrichtlinien stellt sicher, dass sie auch gegen neue Schwachstellen und Angriffsmethoden  wirksam bleiben.

Wenn Unternehmen diese Best Practices einhalten, können sie DAST-Lösungen effektiv implementieren und ihre allgemeine Sicherheitslage verbessern, während sie gleichzeitig die Geschwindigkeit und Agilität ihrer Entwicklungsabläufe aufrechterhalten.

DAST & die JFrog Platform

DAST- Tools sind Teil der JFrog Plattform und decken dabei den gesamten Lebenszyklus der Softwareentwicklung ab, weil DAST und andere Sicherheitsscans jedes Mal ausgeführt werden, wenn neuer Code eingecheckt wird, sowie wenn neuer Code released wird.

JFrog Artifactory und JFrog Xray ermöglichen eine universelle Software Composition Analysis (SCA), die Entwicklern und DevSecOps-Teams eine einfache Möglichkeit bietet, Binärdateien zu scannen und abzusichern, indem sie proaktiv Schwachstellen im Quellcode, in Binärdateien und Verstöße gegen die Lizenzkonformität identifiziert, bevor sie sich in Produktionsversionen manifestieren, und so einen optimalen Wert für die Anwendungssicherheit bietet.

Überzeugen Sie sich von den Security-Features und Vorzügen der JFrog Plattform, indem Sie eine virtuelle Tour machen oder einen Termin für eine persönliche Demo vereinbaren.

Weitere Ressourcen

Infographic
Wie JFrog die Software Lieferkette schützt
Download
Help Center
JFrog Xray Dependencies Scan
Mehr erfahren
Use Case
Konsolidierung von Sicherheitstools
Mehr erfahren

Mehr über JFrog

JFrog Xray

Eine universelle Software Composition Analysis-Lösung, für die proaktive Identifizierung von Schwachstellen.

JFrog Xray entdecken

JFrog Curation

Verwenden Sie Open-Source-Software ohne Bedenken, indem Sie nur zugelassene Komponenten verwenden und schädliche Pakete blockieren.

JFrog Curation entdecken

JFrog Advanced Security

Eine Sicherheitslösung, die Software-Artefakte vor Bedrohungen schützt, die von isolierten Sicherheitstools nicht erkannt werden können.

JFrog Advanced Security entdecken

Release Fast Or Die

Start Free