Was ist dynamisches Anwendungssicherheitstesting (DAST)?

Im Vergleich zu anderen Arten von Tests der Anwendungssicherheit (Application Security, AppSec) zeichnet sich DAST durch seinen „Outside-in“-Ansatz aus. Während andere Tools den Quellcode und internen Zugriff auf die Anwendung benötigen, um Sicherheitsschwachstellen zu bewerten, testet DAST Anwendungen in ihrer Laufzeitumgebung von außen und verwendet simulierte Angriffe, um böswillige Akteure zu imitieren. Aus diesem Grund wird DAST manchmal auch als „Outside-in“-Testing oder „Blackbox“-Testing bezeichnet – eine Testmethode, bei der Systeme untersucht werden, ohne dass der Tester auf die interne Funktionsweise zugreift, sie untersucht oder sie überhaupt kennt.

Entwickler arbeiten heute schnell und aktualisieren bestimmte Codebereiche oft mehrmals am Tag, ohne einen umfassenden Überblick über die gesamte Codebasis zu haben. Sie sind stark auf Komponenten von Drittanbietern und Open-Source-Komponenten angewiesen und haben oft Schwierigkeiten, effektiv mit Sicherheitsteams zusammenzuarbeiten. Die meisten funktionieren auch an immer komplexeren Anwendungen mit zahlreichen Funktionen, Bibliotheken und Abhängigkeiten, während sie gleichzeitig die sich ständig weiterentwickelnden Cybersicherheitsbedrohungen bewältigen.

Das Ergebnis ist eine ständig wachsende Oberfläche für Sicherheitslücken, was es erschwert, sicheren Code zu schreiben und sensible Informationen vor data breach zu schützen. Entwickler müssen Möglichkeiten haben, während der Arbeit auf potenzielle Schwachstellen zu testen, ohne ihre Produktivität zu beeinträchtigen.

DAST ermöglicht dies, indem es den Sicherheitstestprozess automatisiert. Es ahmt die Aktionen realer Hacker nach und arbeitet von außen daran, potenzielle Schwachstellen in laufenden Anwendungen aufzudecken. DAST ermöglicht es Entwicklern, ihren Code zu testen und zu sehen, wie er sich auf die allgemeine Sicherheit der Anwendung auswirkt, bevor diese in Betrieb genommen wird. DAST eignet sich hervorragend zum Aufspüren von Sicherheitsproblemen wie Authentifizierungsfehlern und Code-Schwachstellen, die bei anderen Testmethoden wie der Software Composition Analysis (SCA) oft übersehen werden.

Moderne DAST-Tools (siehe unten) lassen sich außerdem nahtlos in DevOps- und CI/CD-Pipelines integrieren und bieten Schnittstellen für alle Phasen der Entwicklung, auch in den frühen Phasen der Anwendungsentwicklung.

Build- und Bereitstellungsintegrationen sind ein Grund, warum DevOps-Teams DAST häufig in DevOps-/DevSecOps-Umgebungen als Teil eines „Shift-Left“-Ansatzes übernehmen, bei dem Tests frühzeitig im Softwareentwicklungslebenszyklus (SDLC) erfolgen, um kostengünstigere und weniger zeitaufwändige Korrekturen zu ermöglichen. Zu den weiteren DevOps-Prinzipien, die durch DAST-Tools verbessert werden, gehören die Priorisierung von Automatisierung, Zusammenarbeit und kontinuierlichem Feedback, sodass Entwickler und Sicherheitsteams agil und produktiv bleiben können, ohne die Sicherheit zu gefährden.

Da DAST einen „Blackbox“-Ansatz verfolgt, emuliert er die Aktionen, die ein bösartiger Bedrohungsakteur im Zuge eines Angriffs auf eine Webanwendung ausführen könnte.

Im Allgemeinen umfasst DAST die folgenden fünf Schritte:

Obwohl es keine offiziellen Untertypen für DAST-Testtools gibt, werden sie von Sicherheitsexperten häufig in zwei informelle Gruppen unterteilt: moderne DAST-Tools und ältere DAST-Tools. Die Hauptunterschiede liegen in der Automatisierung/Integration und der Schwachstellenvalidierung.

Älteren DAST-Tools fehlt es oft an Automatisierungsfunktionen, obwohl ihr Scanprozess automatisiert ist. Sie konzentrieren sich in der Regel auf grundlegende Tests (Senden von Anfragen, Empfangen von Antworten und erste Bewertungen) und bieten keine vollständige Schwachstellenüberprüfung, sondern nur Listen potenzieller Sicherheitsprobleme.

Moderne DAST-Tools haben einen höheren Automatisierungsgrad und bieten eine gründlichere Überprüfung von Schwachstellen in Webanwendungen.

Moderne DAST-Lösungen lassen sich nahtlos in den SDLC integrieren und agieren transparent im Hintergrund. Darüber hinaus können Automatisierungsserver moderne DAST-Tools auslösen und Scanergebnisse als Tickets im Issue Tracker eines Entwicklers anzeigen. Einige moderne DAST-Tools bieten sogar einen Ausbeutungsnachweis, sodass die zeitaufwändige manuelle Überprüfung durch Penetrationstester oder Sicherheitsexperten entfällt.

DAST wird oft als wichtiger Bestandteil der Sicherheitstests von Webanwendungen angesehen. Zu den einzigartigen Vorteilen gehören:

• Vielseitigkeit. Benutzer können DAST in verschiedenen Phasen des Softwareentwicklungslebenszyklus bereitstellen: DAST kann Webanwendungen in ihrem Betriebszustand und Anwendungen, die bereits bereitgestellt wurden, ohne Änderungen testen, was die Bewertung von Legacy-Systemen erleichtert.

• Automatisierung. DAST-Tools lassen sich leicht in DevOps- und CI/CD-Pipelines integrieren und ermöglichen so die Durchführung automatisierter Sicherheitstests in einem frühen Stadium des Entwicklungsprozesses und reduzieren die Kosten für die Behebung erheblich.

• Sprachunabhängig. Da DAST von außen nach innen wirkt, hängt es nicht von der in der Anwendung verwendeten Programmiersprache ab und kann mit vielen verschiedenen Frameworks eingesetzt werden. DAST testet effektiv sowohl Webschnittstellen als auch APIs und ahmt nach, wie Angreifer Schwachstellen finden.

• Weniger Fehlalarme. DAST liefert in der Regel weniger Fehlalarme bei der Simulation von Benutzeraktionen als andere Methoden, wie SAST.

• Realistisches und wiederholbares Testen. Da es das reale Verhalten von Angreifern nachahmt, ist DAST eine praktische Lösung zur Identifizierung von Sicherheitslücken, die böswillige Akteure ausnutzen könnten. DAST bietet auch den Vorteil wiederholbarer Tests, was eine kontinuierliche Schwachstellenbewertung ermöglicht, während sich Anwendungen weiterentwickeln.

• Umfassende Erkennung von Sicherheitslücken. DAST kann ein breites Spektrum an Schwachstellen aufdecken, darunter SQL-Injection, XSS und Fehlkonfigurationen.

• Angleichung an Industriestandards. Unternehmen nutzen DAST häufig, um Branchenstandards einzuhalten und bei der regulatorischen Berichterstattung, wie z. B. der PCI-Compliance, zu helfen. Viele Unternehmen verwenden die OWASP-Top-10-Liste als Compliance-Benchmark für Anwendungssicherheitsrisiken.

Trotz dieser vielen Vorteile bringt DAST auch Einschränkungen mit sich. Obwohl DAST gut darin ist, Sicherheitsmängel in laufenden Anwendungen zu erkennen, deckt es möglicherweise nicht alle Schwachstellen auf – insbesondere jene, die bestimmte Aktionssequenzen erfordern. Die Kombination von DAST mit anderen Methoden, wie z. B. statischen Tests der Anwendungssicherheit (Static Application Security Testing, SAST), interaktiven Tests der Anwendungssicherheit (Interactive, Application Security Testing, IAST), Analyse der Softwarezusammensetzung (Software Composition Analysis, SCA) und manuellen Penetrationsprüfungen– kann dazu beitragen, DAST zu ergänzen und ein umfassenderes Sicherheitsprogramm anzubieten.

Weitere Einschränkungen von DAST können Folgendes sein:

• Konzentration auf ausführbaren Code.  Da DAST hauptsächlich Teile von bereits bereitgestellten Webanwendungen testet (d. h. Code, der bereits betriebsbereit ist), kann es Abschnitte übersehen, die sich noch in der Entwicklung befinden.

• Herausforderungen bei der Authentifizierung. DAST kann bei nicht standardisierter Authentifizierung und komplexer Geschäftslogik weniger effektiv sein, wobei professionelle DAST-Tools jedoch Anleitungsmodule für diese Situationen enthalten.

• Betriebliche Auswirkungen.  Ohne die richtige Abstimmung können DAST-Tests den normalen Betrieb der Anwendung beeinträchtigen und möglicherweise Beispieldaten einbringen oder die Anwendung verlangsamen. Daher wird DAST oft in Staging- oder Produktionsklon-Umgebungen und nicht in der Live-Produktion eingesetzt.

DAST und SAST oder statische Tests der Anwendungssicherheit sind zwei Testmethoden, die zur Identifizierung von Sicherheitslücken in Webanwendungen verwendet werden. Während DAST jedoch Anwendungen in ihrer Produktionsumgebung bewertet, böswillige Benutzerangriffe nachahmt und Sicherheitsprobleme identifiziert, befasst sich SAST mit dem Quellcode und sucht nach Schwachstellen in der Website-Anwendung.

Cybersecurity-Experten empfehlen im Allgemeinen, bei der Behebung von Sicherheitsrisiken sowohl SAST als auch DAST zu verwenden, um so eine vollständige Übersicht über potenzielle Schwachstellen zu erhalten. Bei der Untersuchung des Quellcodes eines Programms können SAST-Tools beispielsweise eine Vielzahl von Sicherheitsschwachstellen aufdecken, die DAST möglicherweise übersehen würde, darunter SQL-Injection, Buffer Overflows, XXE-Angriffe und andere Risiken der OWASP Top 10.

Die Verwendung einer SAST-Methode fördert außerdem frühzeitige Tests während der Entwicklung und verringert die Wahrscheinlichkeit von Sicherheitsmängeln im Quellcode der Anwendung in späteren Phasen. Dies führt zu kürzeren Entwicklungszeiten und einer verbesserten Gesamtsicherheit.