アプリケーションの安全性を見守るDAST:攻撃シミュレーションで脆弱性を検出
- DASTとは
DASTは、「動的アプリケーションセキュリティテスト」の略称で、開発されたアプリケーションの安全性を評価する上で欠かせないテスト手法です。
このテストは、アプリケーションを外部から攻撃する「ブラックボックステスト」に分類されます。
DASTの特徴は、実際に攻撃を仕掛けるように動作することで、隠れた脆弱性を発見することにあります。
従来のソースコードを解析する静的テストとは異なり、DASTは実際にアプリケーションを動作させるため、より実践的なセキュリティテストといえます。
DASTは、開発の最終段階やリリース後など、アプリケーションが実際に稼働する環境で実施することが効果的です。
例えるならば、DASTは泥棒が侵入を試みるようにアプリケーションの防御をかいくぐろうとします。
もし、アプリケーションにセキュリティ上の弱点があれば、DASTはそこを突いて侵入を試みます。
このようにして、DASTは開発者が想定していなかった脆弱性を発見することができます。
DASTは、クロスサイトスクリプティングやSQLインジェクションといった一般的な攻撃から、より複雑なビジネスロジックの脆弱性まで、幅広い脅威を検出することができます。
近年、Webアプリケーションのセキュリティ対策はますます重要になってきており、DASTは開発者にとって必要不可欠なツールとなっています。