El término «Prueba dinámica de seguridad de aplicaciones» o DAST para abreviar describe un procedimiento para verificar la seguridad de las aplicaciones web. Los programas especiales simulan ataques externos para revelar debilidades. El sistema tiene varias ventajas y desventajas.
Específicamente, un escáner se conecta a la aplicación en cuestión y simula ataques externos mientras se está ejecutando. De ahí proviene el término «dinámica».
Dado que la aplicación es atacada desde el exterior, DAST es un procedimiento de caja negra. El código en sí es invisible para el software de prueba. Por lo tanto, por lo general, se realizan pruebas tanto estáticas (SAST) como dinámicas para garantizar la mejor seguridad posible.
Con el foco en las WebApps y su función, el sistema funciona independientemente del lenguaje en el que se desarrolló. Por lo tanto, los desarrolladores pueden probar los problemas típicos con las herramientas comunes. El proyecto de referencia del OWASP ofrece una asistencia adecuada para la selección del escáner para tu propio proyecto. Esto evalúa el rendimiento de las herramientas individuales en relación con los antecedentes de la aplicación específica.
Ventajas de las pruebas de seguridad de aplicaciones dinámicas
El proceso DAST tiene las siguientes ventajas además del hecho de que el lenguaje de programación es irrelevante y, en consecuencia, el sistema funciona independientemente de la tecnología:
- Los escáneres encuentran errores en el entorno de ejecución.
- La tasa de falsos positivos es baja.
- Las herramientas encuentran configuraciones defectuosas en aplicaciones básicamente funcionales. Por ejemplo, puede identificar problemas de rendimiento que otros escáneres no pueden.
- Los programas DAST se pueden utilizar tanto durante el desarrollo como posteriormente.
Los escáneres se basan básicamente en los mismos conceptos que los atacantes reales utilizan para su malware. Por lo tanto, brindan información confiable sobre las debilidades. Las pruebas han demostrado constantemente que la mayoría de las herramientas DAST pueden identificar las 10 principales amenazas enumeradas por la Fundación OWASP.
Desventajas de las pruebas de seguridad de aplicaciones dinámicas
- Difícilmente escalable: los escáneres están programados para llevar a cabo ciertos ataques a aplicaciones web funcionales y, por lo general, solo los expertos en seguridad pueden adaptarlos. Por tanto, ofrecen poco espacio para el escalado individual.
- Velocidad de escaneo lenta: las herramientas DAST pueden tardar de cinco a siete días en completarse.
- Al final del ciclo de vida: los programas DAST encuentran algunos agujeros de seguridad muy tarde en el ciclo de desarrollo que podrían haberse descubierto antes a través de SAST. El costo de solucionar los problemas relacionados es más alto de lo que debería ser.
- Basado en errores conocidos: las herramientas necesitan un tiempo relativamente largo para buscar nuevos tipos de ataques.
Conclusión: los escáneres DAST son solo un componente
La lista de ventajas y desventajas de las pruebas de seguridad de aplicaciones dinámicas respalda lo que generalmente dicen los expertos en seguridad: los conceptos individuales son solo los componentes básicos de un concepto de seguridad. DAST, SAST u otros enfoques de prueba no solo se pueden usar de forma aislada, sino que deben trabajar juntos.