知識センター

DAST(動的アプリケーションセキュリティテスト)は、アプリケーションを外部でテストするブラックボックスセキュリティテストの方法です。DASTを用いるテスターは、実際に製品運営環境で実行された時を仮定してアプリケーションを検査し、攻撃者と同じハッキングを試みます。DASTスキャナーは、HTTP通信を使って外部でアプリケーションと相互作用するため、アプリケーションを構成する技術要素とは独立しています。つまり、従来の規格型プログラミング言語やフレームワークだけでなく、カスタム要素が反映されたものにも作動を保障します。

DASTスキャナーは、スキャン作業前にまずウェブアプリケーションをクロールします。こうしてスキャナーは、ウェブアプリケーションのページ内に表示されるすべての入力を検索した後、これを利用して様々な脆弱性テストを実行します。DASTテストは、クロスサイトスクリプティングまたはSQLインジェクション攻撃を誘う入力・出力値に対する有効性検査をはじめ、広範囲なアプリケーションホールを探し出すことができます。DASTテストは、アプリケーションの構成エラーや間違いを発見し、その他にも特定問題の識別を助けます。ほとんどのDASTソリューションは、ウェブに対応するアプリケーションのHTTP・HTMLインターフェースのみテストします。しかし、一部のソリューションは、ウェブ以外のプロトコルとデータ変形(例えば、RPCやSIPなど)に対応するため、特別設計されることもあります。