Abwehr

Dynamic Application Security Testing

Abkürzung: DAST

Sicherheitstest einer laufenden Webanwendung durch Simulation von Angriffen von außen, ohne Zugriff auf den Quellcode.

🧒

Einfach erklärt

Für jeden verständlich — ohne Vorkenntnisse

“DAST versucht wie ein echter Hacker die laufende Webseite anzugreifen — aber automatisiert und kontrolliert. Es probiert Tausende bekannte Angriffe aus und prüft ob die Seite anfällig reagiert. Kein Quellcode nötig — es reicht, die App laufen zu lassen.”

Ausführliche Erklärung

DAST-Tools (OWASP ZAP, Burp Suite, Acunetix, Invicti) agieren wie ein automatisierter Angreifer und testen die Anwendung im laufenden Betrieb. Sie senden manipulierte Requests, prüfen Responses auf Schwachstellenindikatoren und testen OWASP-Top-10-Kategorien. Vorteile: Keine Code-Kenntnisse nötig, findet Laufzeit- und Konfigurationsprobleme, echte Angriffsperspektive. Nachteile: Kann Code-Pfade verpassen, Laufzeit-Overhead, Auth-Probleme in komplexen Flows.

>Wie funktioniert das?

DAST-Tool crawlt die Webanwendung und erstellt eine Sitemap aller URLs und Parameter

Für jeden Endpunkt werden bekannte Angriffspayloads getestet (SQLi, XSS, Path Traversal, etc.)

Responses werden auf Indikatoren für erfolgreiche Angriffe analysiert

Findings werden mit CVSS-Score und Reproduktionsschritten dokumentiert

Entwickler beheben Findings, Tool wird zur Verifikation erneut ausgeführt.

?Häufig gestellte Fragen

Antwort

QA-Teams, Security-Engineers und Penetrationstester — DAST kann in CI/CD-Pipelines für Staging-Umgebungen automatisiert werden, bevor Code in Produktion geht.

Antwort

DAST ist automatisiert, schnell und konsistent, aber begrenzt auf bekannte Angriffsmuster. Ein manueller Pentest ist kreativer, findet logische Fehler und Business-Logic-Schwachstellen die DAST übersieht.

Antwort

Für das Testen von Authentifizierung, Session-Management, Input-Validierung und serverseitiger Konfiguration — Dinge, die man aus dem Code allein nicht vollständig bewerten kann.

Antwort

DAST braucht eine laufende Umgebung (Staging), vollständige Authentifizierung und kann bei falscher Konfiguration Testdaten beschädigen oder durch Ratenlimits blockiert werden.

Antwort

SAST im Entwickler-Workflow für schnelles Feedback, DAST gegen Staging-Umgebungen vor jedem Release — ergänzt durch manuelle Pentests für kritische neue Features und regelmäßige Assessments.

Alle Begriffe im Glossar

APT Brute-Force-Angriff Botnet CVE Credential Stuffing DDoS EDR Firewall Honeypot IDS KI-Angriff (Adversarial AI)Lateral Movement LLM-Sicherheit Malware MFA Netzwerksegmentierung OSINT Passkeys Patch Management Phishing Prompt Injection Ransomware SIEM Social Engineering SQL-Injection Threat Intelligence TTP WAF XDR Zero-Day Zero Trust XSS CSRF MitM Supply-Chain-Angriff Spear-Phishing Vishing Smishing Watering-Hole-Angriff Drive-by-Download Insider-Bedrohung Typosquatting Clickjacking DNS-Spoofing Session-Hijacking BEC Cryptojacking SIM-Swapping SOC Pentest Threat Hunting Red Team Blue Team DevSecOps Security Awareness Training Vulnerability Management SAST DAST 3-2-1 Backup-Strategie Cyber-Versicherung NIS2 DSGVO ISO/IEC 27001 BSI IT-Grundschutz NIST CSF KRITIS — Kritische Infrastrukturen PCI-DSS CRA TISAX — Automotive Informationssicherheit BCM Meldepflicht bei Datenpannen Adversarial Machine Learning Model Poisoning Deepfake KI-Halluzination LLM-Jailbreak Federated Learning Shadow AI Trojaner Computerwurm Spyware Rootkit Keylogger Fileless Malware Backdoor Infostealer Wiperware Adware OAuth 2.0 SAML SSO PAM IAM RBAC Passwort-Manager Biometrische Authentifizierung Hardware-Sicherheitsschlüssel VPN DMZ VLAN Port-Scanning BGP-Hijacking IPS NAC TLS SSH HTTPS — HyperText Transfer Protocol Secure SPF, DKIM & DMARC — E-Mail-Authentifizierung IPsec — Internet Protocol Security API-Sicherheit DNSSEC