DAST (Dynamic Application Security Testing)

DAST ist ein Testverfahren, bei dem eine laufende Anwendung von außen auf Sicherheitslücken untersucht wird, ohne Zugriff auf den Quellcode zu haben; DAST-Tools simulieren Angreifer und testen auf OWASP-Top-10-Schwachstellen wie SQL-Injection, XSS und Authentifizierungsprobleme. Im Gegensatz zu SAST (statische Analyse) kann DAST Laufzeitverhalten und Konfigurationsfehler erkennen, die im Code nicht sichtbar sind. In IT-Ausschreibungen für Webanwendungen und APIs sollten DAST-Tests als Bestandteil der Abnahmeprüfung und als regelmäßige Sicherheitsprüfung im Betrieb verpflichtend gefordert werden.