지식 센터

동적 애플리케이션 보안 테스트(DAST)는 애플리케이션을 외부에서 테스트 하는 블랙 박스 보안 테스트 방법입니다. DAST를 사용하는 테스터는 실제 제품 운영 환경에서 실행될 때를 가정하여 애플리케이션을 검사하고, 공격자와 마찬가지로 해킹을 시도합니다. DAST 스캐너는 HTTP 통신을 사용하여 외부에서 애플리케이션과 상호작용하기 때문에, 애플리케이션을 구성하는 기술요소와는 독립적입니다. 즉, 기존의 규격형 프로그래밍 언어나 프레임워크 뿐만 아니라, 커스텀 요소가 반영된 것들에서도 작동을 보장합니다.

DAST 스캐너는 스캐닝 작업 전에 먼저 웹 애플리케이션을 크롤링합니다. 이를 통해 스캐너는 웹 애플리케이션의 페이지내에 노출된 모든 입력을 찾은 후 이를 이용하여 다양한 취약성에 대해 테스트를 수행합니다. DAST 테스트는 크로스 사이트 스크립팅 또는 SQL 인젝션 공격을 유발할 수 있는 입/출력 값에 대한 유효성 검사를 비롯하여 광범위한 애플리케이션 취약점을 찾을 수 있습니다. DAST 테스트는 애플리케이션의 구성 오류 및 실수를 발견하고, 그 외 다른 특정 문제를 식별하는데 도움을 줍니다. 대부분의 DAST 솔루션은 웹을 지원하는 애플리케이션의 HTTP 및 HTML 인터페이스만을 테스트합니다. 그러나 일부 솔루션은 웹 이외의 프로토콜 및 데이타 변형(예를 들면, RPC나 SIP 등)을 지원 하기 위해 특별히 설계되기도 합니다.