DAST
DAST (ראשי תיבות של: Dynamic Application Security Testing) הוא כלי לבדיקה דינמית של אבטחת יישומים. DAST הוא תוכנית המתקשרת עם אפליקציית רשת דרך ממשק האינטרנט (או רשת אחרת) במטרה לזהות פגיעויות אבטחה אפשריות ביישום הרשת וחולשות בארכיטקטורה.[1] הוא מבצע בדיקות קופסה שחורה. בניגוד לכלי SAST, לכלי DAST אין גישה לקוד המקור ולכן הם מזהים נקודות תורפה על ידי ביצוע התקפות בפועל.
כלי DAST מאפשרים סריקות מתוחכמות, המאתרים נקודות תורפה עם אינטראקציות מינימליות של משתמשים לאחר שהוגדרו עם שם המארח, פרמטרים לסריקה ואישורי אימות. כלים אלה ינסו לאתר נקודות תורפה במחרוזות שאילתה, כותרים (Headers), פעלים (GET / POST / PUT) והזרקת DOM.
לקוחות נהנים מהנוחות של יישומים אלה, תוך שהם לוקחים סיכון שבשתיקה כי מידע פרטי המאוחסן ביישומי רשת ייפגע באמצעות התקפות האקרים ודליפות פנים. על פי Privacy Rights Clearinghouse, יותר מ-18 מיליון רשומות לקוחות נפגעו בשנת 2012 עקב בקרת אבטחה לא מספקת בנתונים ארגוניים וביישומי אינטרנט.[2]
סקירה כללית
כלי DAST מקלים על הבדיקה האוטומטית של אפליקציית רשת במטרה המוצהרת לגלות פגיעויות אבטחה ונדרשים לעמוד בדרישות הרגולציה השונות. סורקי יישומים יכולים לחפש מגוון רחב של נקודות תורפה, כגון אימות קלט / פלט: (למשל סקריפטים בין-אתריים והזרקת SQL), בעיות יישומים ספציפיות ושגיאות בתצורת שרת.
בדו"ח המוגן בזכויות יוצרים שפורסם במרץ 2012 על ידי ספק האבטחה Cenzic, נקודות התורפה הנפוצות ביותר ביישומים ביישומים שנבדקו לאחרונה כוללים:[3]
37% | Cross-site scripting |
16% | SQL injection |
5% | Path disclosure |
5% | Denial-of-service |
4% | Code execution |
4% | Memory corruption |
4% | Cross-site request forgery |
3% | Information disclosure |
3% | Arbitrary file |
2% | Local file inclusion |
1% | Remote file inclusion |
1% | Buffer overflow |
15% | אחר (PHP injection, Javascript injection, וכיוב) |
הערות שוליים
- ^ Web Application Security Scanner Evaluation Criteria version 1.0, WASC, 2009
- ^ "Chronology of Data Breaches". Privacy Rights Clearinghouse. 9 ביולי 2012. נבדק ב-9 ביולי 2012.
{{cite web}}
: (עזרה) - ^ "2012 Trends Report: Application Security Risks". Cenzic, Inc. 11 במרץ 2012. אורכב מ-המקור ב-17 בדצמבר 2012. נבדק ב-9 ביולי 2012.
{{cite web}}
: (עזרה)
DAST31365350