DAST est l’acronyme de « Dynamic Application Security Testing », ce qui se traduit en français par « Test de sécurité des applications en temps réel ». Le DAST est une méthode d’évaluation de la sécurité des applications informatiques, principalement les applications web et mobiles, qui vise à détecter les vulnérabilités et les failles de sécurité pendant l’exécution de l’application.
Voici quelques points clés :
- Analyse dynamique : Contrairement au SAST (Static Application Security Testing), qui analyse le code source statique, le DAST examine l’application en cours d’exécution. Cela signifie qu’il teste l’application telle qu’elle se comporte réellement, en simulant les actions d’un utilisateur ou d’un attaquant.
- Identification de vulnérabilités : Le DAST recherche diverses vulnérabilités de sécurité, telles que les failles d’injection SQL, les failles de sécurité XSS (Cross-Site Scripting), les vulnérabilités CSRF (Cross-Site Request Forgery), les problèmes de gestion de session, etc.
- Scanning automatisé : Les outils DAST utilisent généralement des scanners automatisés pour parcourir l’application, en envoyant des requêtes HTTP et en analysant les réponses pour détecter les vulnérabilités potentielles.
- Rapports de sécurité : Une fois l’analyse terminée, le DAST génère généralement des rapports de sécurité qui répertorient les vulnérabilités trouvées, leur gravité, et parfois des recommandations pour les corriger.
- Tests périodiques : Le DAST peut être utilisé de manière régulière pour surveiller la sécurité d’une application au fil du temps, en particulier lorsque des mises à jour ou des modifications sont apportées à l’application.
Quels sont les outils de DAST ?
Il existe de nombreux outils disponibles pour aider à évaluer la sécurité des applications en temps réel. Voici quelques-uns des outils populaires utilisés dans le domaine du DAST :
- Burp Suite: Burp Suite est un outil de test de sécurité largement utilisé qui propose des fonctionnalités DAST. Il permet de scanner les applications web à la recherche de vulnérabilités et offre des fonctionnalités avancées pour l’analyse et la manipulation du trafic HTTP.
- OWASP ZAP (Zed Attack Proxy) : ZAP est un outil open source développé par l’OWASP (Open Web Application Security Project). Il s’agit d’un proxy d’attaque automatisé qui peut aider à identifier et à corriger les vulnérabilités de sécurité dans les applications web.
- Nessus: Nessus est un scanner de vulnérabilités qui peut être utilisé pour effectuer des tests DAST. Il analyse les applications web à la recherche de vulnérabilités connues et génère des rapports détaillés sur les résultats.
- Acunetix: Acunetix est une solution DAST qui propose un balayage automatisé des applications web pour détecter les vulnérabilités, y compris les failles de sécurité des sites web, les injections SQL, les problèmes de sécurité XSS, etc.
- AppScan (IBM Security AppScan) : AppScan est un outil de test de sécurité des applications proposé par IBM. Il offre des fonctionnalités DAST pour identifier les vulnérabilités dans les applications web et mobiles.
- Netsparker: Netsparker est un outil qui vise à automatiser la détection des vulnérabilités web. Il génère des rapports détaillés sur les vulnérabilités identifiées.
- Qualys Web Application Scanning (WAS) : Qualys WAS est un service cloud de DAST qui permet de scanner et de surveiller en continu la sécurité des applications web.
- Rapid7 AppSpider: AppSpider de Rapid7 est un outil de test de sécurité des applications web qui identifie les vulnérabilités courantes telles que les injections SQL, les failles XSS, etc.
- Detectify: Detectify est un scanner de sécurité web basé sur le cloud qui identifie les vulnérabilités de sécurité dans les applications web et les API.
Il est important de noter que la sélection d’un outil de DAST dépendra des besoins spécifiques de votre organisation, de la technologie utilisée dans vos applications et de votre budget. De plus, l’utilisation d’outils DAST doit souvent être complétée par d’autres approches de test de sécurité, telles que le SAST (Static Application Security Testing) et les tests manuels de sécurité, pour une évaluation complète de la sécurité des applications.
Y a t’il des outils open source ?
Voici quelques-uns d’entre eux :
- OWASP ZAP (Zed Attack Proxy) : ZAP est un outil open source développé par l’OWASP. Il offre des fonctionnalités DAST pour scanner les applications web à la recherche de vulnérabilités, notamment les injections SQL, les failles XSS, les problèmes CSRF, etc. ZAP est largement utilisé dans la communauté de la sécurité des applications web.
- Wapiti : Wapiti est un outil open source de scan de vulnérabilités web qui peut être utilisé pour détecter les failles de sécurité courantes dans les applications web. Il est écrit en Python et est facile à utiliser.
- Nikto : Nikto est un scanner de vulnérabilités web open source qui se concentre principalement sur la recherche de vulnérabilités connues et de problèmes de configuration sur les serveurs web. Il peut être utilisé pour identifier des problèmes tels que les fichiers non sécurisés, les répertoires exposés, etc.
- Skipfish : Skipfish est un autre outil open source de test de sécurité des applications web. Il effectue des analyses actives et passives pour identifier diverses vulnérabilités. Cet outil est développé par Google.
- Arachni : Arachni est un scanner de sécurité web open source qui effectue des scans automatisés pour détecter un large éventail de vulnérabilités web, y compris les injections SQL, les failles XSS, etc.
- Grabber : Grabber est un outil open source de scan de vulnérabilités web développé en Python. Il peut identifier des vulnérabilités telles que les injections SQL, les problèmes de sécurité XSS, etc.
- W3af : W3af est un framework open source pour l’audit et la sécurité des applications web. Il offre divers modules pour tester la sécurité des applications web à partir de différentes perspectives.
- Vega : Vega est un scanner de vulnérabilités web open source qui offre une interface utilisateur graphique conviviale pour effectuer des analyses DAST.
Ces outils open source peuvent être un excellent point de départ pour évaluer la sécurité de vos applications web sans coût initial. Cependant, il est important de noter que les outils DAST open source peuvent avoir des fonctionnalités et des capacités variables, et ils peuvent nécessiter une certaine expertise pour être correctement configurés et utilisés. En outre, il est souvent recommandé de compléter les tests automatisés avec des évaluations manuelles de sécurité pour une couverture plus complète.