À propos des cookies sur ce site Pour fonctionner correctement, nos sites Internet nécessitent certains cookies (requis). En outre, d'autres cookies peuvent être utilisés avec votre consentement pour analyser l'utilisation d'un site, améliorer l'expérience des utilisateurs et à des fins publicitaires. Pour plus informations, passez en revue vos options de préférences en. En visitant notre site Web, vous acceptez que nous traitions les informations comme décrit dans ladéclaration de confidentialité d’IBM. Pour faciliter la navigation, vos préférences en matière de cookie seront partagées dans les domaines Web d'IBM énumérés ici.
Qu'est-ce que les tests dynamiques de sécurité des applications (DAST) ?
Publié : 8 avril 2024
Contributeurs : Annie Badman, Amber Forrest
Les tests dynamiques de sécurité des applications (DAST) sont une méthode de test de cybersécurité utilisée pour identifier les vulnérabilités et les erreurs de configuration dans les applications Web, les API et, plus récemment, les applications mobiles.
Comparé aux autres types de tests de sécurité des applications (AppSec), le DAST se distingue par son approche de l'extérieur vers l'intérieur. Alors que d'autres outils nécessitent le code source et un accès interne à l'application pour évaluer les vulnérabilités de sécurité, le DAST teste les applications dans leur environnement d'exécution depuis l'extérieur, en utilisant des attaques simulées pour imiter les acteurs malveillants. Pour cette raison, le DAST est parfois appelé test de l'extérieur vers l'intérieur ou test boîte noire - une méthode de test dans laquelle les systèmes sont examinés sans que le testeur accède, enquête ou même connaisse le fonctionnement interne.
Aujourd'hui, les développeurs travaillent rapidement, mettant souvent à jour des zones de code spécifiques plusieurs fois par jour, sans avoir une vision globale de l'ensemble de la base de code. Ils s'appuient fortement sur des composants tiers et open source et ont souvent du mal à collaborer efficacement avec les équipes de sécurité. La plupart travaillent également sur des applications de plus en plus complexes, avec de nombreuses fonctionnalités, bibliothèques et dépendances, tout en gérant les menaces de cybersécurité en constante évolution.
Il en résulte une surface d’exposition en constante augmentation des vulnérabilités de sécurité, ce qui intensifie la difficulté d’écrire du code sécurisé et de protéger les informations sensibles contre les violations de données. Les développeurs ont besoin de moyens de tester les vulnérabilités potentielles au fur et à mesure qu'elles fonctionnent, sans compromettre leur productivité.
Le DAST rend cela possible en automatisant le processus de test de sécurité. Il fonctionne en imitant les actions de vrais hackers, travaillant de l'extérieur pour découvrir les vulnérabilités potentielles des applications en cours d'exécution. Le DAST permet aux développeurs de tester leur code et de voir son impact sur la sécurité globale de l'application avant sa mise en production. Il excelle dans l'identification des problèmes de sécurité, tels que les erreurs d'authentification et les vulnérabilités de code, souvent manquées par d'autres méthodes de test, comme l'analyse de composition logicielle (SCA).
Les outils DAST modernes (voir ci-dessous) s'intègrent également de façon fluide aux pipelines DevOps et CI/CD pour offrir des interfaces pour toutes les étapes du développement, y compris au début du workflow de développement d'applications.
Les intégrations de construction et de déploiement sont l'une des raisons pour lesquelles les équipes DevOps adoptent généralement le DAST dans les environnements DevOps/DevSecOps dans le cadre d'une approche « shift gauche » dans laquelle les tests ont lieu tôt dans le cycle de vie du développement logiciel (SDLC) pour une remédiation plus rentable et moins longue. D'autres principes DevOps que les outils DAST améliorent incluent la priorisation de l'automatisation, de la collaboration et des commentaires continus afin que les développeurs et les équipes de sécurité puissent rester agiles et productifs sans compromettre la sécurité..
Étant donné que le DAST adopte une approche de boîte noire, il émule les actions qu'un acteur malveillant pourrait entreprendre lorsqu'il tente de pirater une application Web.
En général, le DAST comprend les cinq étapes suivantes :
Dans un premier temps, les scanners DAST simulent les interactions des utilisateurs avec l'application en cours d'exécution en envoyant diverses requêtes HTTP. Cette cartographie identifie toutes les pages, liens, fonctions (pour les applications web monopages) et points d'entrée tels que définis dans les tests d'API via un document de définition d'API.
Au fur et à mesure que les requêtes sont envoyées, l'outil DAST commence à analyser les réponses de l'application, recherchant des anomalies, des messages d'erreur et des comportements inattendus pouvant indiquer une vulnérabilité de l'application web. Lorsque l'analyse DAST détecte des vulnérabilités potentielles, elle enregistre leur emplacement et leur réponse pour référence ultérieure, permettant ainsi des tests manuels si nécessaire.
Les outils DAST commencent également à imiter des attaques courantes comme l'injection SQL, les scripts intersites (XSS) et la contrefaçon de requête intersites (CSRF) pour localiser les vulnérabilités de sécurité, telles que les erreurs de configuration, les expositions de données et les problèmes d'authentification, que les acteurs de menaces pourraient exploiter.
Suite à l'analyse et aux attaques simulées, les outils DAST produisent des rapports détaillant les vulnérabilités identifiées, leur gravité et les scénarios d'attaque potentiels afin de guider les développeurs et les équipes de sécurité. Gardez à l'esprit que les solutions DAST se concentrent uniquement sur l'identification des problèmes de sécurité et laissent les équipes de développement s'occuper de la résolution.
Les outils DAST peuvent occasionnellement générer de faux positifs, signalant par erreur quelque chose comme une vulnérabilité. Lorsque cela se produit, il est souvent nécessaire d'obtenir la validation humaine et la priorisation.
Bien que les outils de test DAST n'aient pas de sous-types officiels, les experts en sécurité les classent souvent en deux groupes informels d'outils DAST et d'anciens outils DAST, les principales différences étant l'automatisation/l'intégration et la validation des vulnérabilités.
DAST hérité
Les outils DAST hérités manquent souvent de fonctionnalités d'automatisation, bien que leur processus d'analyse soit automatisé. Ils se concentrent généralement sur des tests de base - envoi de requêtes, réception de réponses et évaluations préliminaires - et n'offrent pas de validation complète des vulnérabilités, seulement des listes de problèmes de sécurité potentiels.
DAST moderne
Les outils DAST modernes présentent un degré d'automatisation plus élevé et offrent une analyse plus approfondie des vulnérabilités des applications Web.
Les solutions DAST modernes peuvent s'intégrer de façon fluide dans le cycle de vie de développement logiciel (SDLC) et fonctionner en arrière-plan. En outre, les serveurs d'automatisation peuvent déclencher des outils DAST modernes et présenter les résultats de l'analyse sous forme de tickets dans le système de suivi des problèmes d'un développeur. Certains outils DAST modernes fournissent même une preuve d'exploitation, éliminant ainsi le besoin fastidieux de vérification manuelle par des testeurs de pénétration ou des experts en sécurité.
Le DAST est souvent considéré comme un élément essentiel des tests de sécurité des applications Web. Voici quelques-uns de ses avantages uniques :
- Polyvalence. Les utilisateurs peuvent déployer DAST à différents stades du cycle de vie du développement logiciel - DAST peut tester des applications web en cours d'exécution et des applications qui ont déjà été déployées sans modifications, ce qui facilite l'évaluation des systèmes existants.
- Automatisation. Les outils DAST s'intègrent facilement aux pipelines DevOps et CI/CD, ce qui permet d'exécuter des tests de sécurité automatisés dès le début du processus de développement et de réduire considérablement les coûts de résolution.
- Agnostique sur le plan linguistique. Puisque le DAST fonctionne de l'extérieur vers l'intérieur, il ne dépend pas du langage de programmation utilisé dans l'application et peut fonctionner sur de nombreux cadres des exigences différents. Le DAST teste efficacement les interfaces Web et les API, émulant la façon dont les attaquants trouvent les vulnérabilités.
- Moins de faux positifs. Le DAST génère généralement moins de faux positifs et de faux négatifs lorsqu'il simule des actions utilisateur que d'autres méthodes, comme le SAST.
- Des tests réalistes et reproductibles. Parce qu'il simule le comportement d'un attaquant réel, le DAST est une solution pratique pour identifier les vulnérabilités que des acteurs malveillants pourraient exploiter. Le DAST offre également l'avantage de tests répétables, permettant une évaluation continue des vulnérabilités à mesure que les applications évoluent.
- Découverte complète des vulnérabilités. Le DAST peut révéler un large éventail de vulnérabilités, notamment l'injection SQL, les scripts intersites (XSS) et les erreurs de configuration.
- Alignement des normes du secteur. Les entreprises utilisent souvent le DAST pour adhérer aux normes industrielles et faciliter les rapports réglementaires, comme la conformité PCI. De nombreuses entreprises utilisent la liste OWASP Top 10 comme référence pour évaluer les risques de sécurité des applications dans le cadre de leur conformité.
Malgré ses nombreux avantages, le DAST présente certaines limites. Bien que le DAST soit capable d'identifier les failles de sécurité dans les applications en cours d'exécution, il peut ne pas découvrir toutes les vulnérabilités, en particulier celles nécessitant des séquences d'actions spécifiques. La combinaison du DAST avec d'autres méthodes, telles que les tests statiques de sécurité des applications (SAS, voir ci-dessous), les tests de sécurité des applications interactifs (IAST), l'analyse de la composition logicielle (SCA) et les tests d'intrusion manuels, peut aider à compléter le DAST et offrir un programme de sécurité plus complet.
Les autres limites du DAST peuvent être les suivantes :
- Concentrez-vous sur le code exécutable. Puisque le DAST teste principalement les parties d'applications web déjà déployées (c'est-à-dire le code déjà exécutable), il peut manquer des sections encore en développement.
- Défis d'authentification. Le DAST peut être moins efficace avec une authentification non standard et une logique métier complexe, mais les outils DAST professionnels incluent des modules de guidage pour ces situations.
- Impacts opérationnels. Sans un réglage approprié, les tests DAST peuvent affecter le fonctionnement normal de l'application et éventuellement introduire des données échantillon ou ralentir l'application. Par conséquent, de nombreuses entreprises exécutent les tests DAST dans des environnements de staging ou de clonage de production plutôt qu'en production live.
Le DAST et le SAST, ou tests de sécurité application statiques, sont deux méthodes de test utilisées pour identifier les vulnérabilités de sécurité dans les applications web. Alors que le DAST évalue les applications dans leur environnement de production en simulant des attaques d'utilisateurs malveillants et en identifiant les problèmes de sécurité, le SAST plonge dans leur code source à la recherche de vulnérabilités au sein de l'application web.
Les experts en cybersécurité recommandent généralement d'utiliser à la fois le SAST et le DAST pour évaluer les risques de sécurité afin d'obtenir une vision complète des vulnérabilités potentielles. Par exemple, en examinant le code source d'un programme, les outils SAST peuvent découvrir un large éventail de vulnérabilités de sécurité que le DAST pourrait manquer, notamment l'injection SQL, les dépassements de tampon, les attaques XXE et d'autres risques OWASP Top 10.
Utiliser une méthodologie SAST encourage également les tests précoces lors du développement, réduisant ainsi la probabilité de failles de sécurité dans le code source de l'application lors des phases ultérieures, ce qui entraîne des délais de développement plus courts et une sécurité globale améliorée.
Solutions connexes
Gérez et protégez votre main-d'œuvre mobile avec une gestion unifiée des terminaux (UEM) pilotée par l'IA.
Mieux protéger les données dans les clouds hybrides et simplifiez les exigences de conformité.
Développez, déployez et itérez vos applications en toute sécurité : transformez le DevOps en DevSecOps (personnes, processus et outils).
Ressources
Découvrez comment les solutions de gestion des vulnérabilités aident les équipes de sécurité à découvrir, hiérarchiser et corriger les failles de sécurité de leurs actifs informatiques de manière proactive.
Les tests d’intrusion utilisent des attaques simulées pour trouver des vulnérabilités dans les systèmes informatiques.
Découvrez les principales méthodologies de tests d’intrusion utilisées pour détecter les vulnérabilités de sécurité et atténuer les cyber-risques.