¿Se pregunta qué es DAST y cómo puede ayudar a identificar las vulnerabilidades? Bueno, has llegado a la página correcta. Este artículo analiza el escaneo DAST, su funcionamiento y las vulnerabilidades comunes que puede identificar. Así que, ¡vamos a sumergirnos!

¿Qué es DAST?

DAST son las siglas de Dynamic Application Security Testing. Es un mecanismo de prueba integral que simula escenarios de ataque del mundo real para identificar las vulnerabilidades de seguridad y los ataques en una aplicación web en ejecución (dinámica).

El escaneo DAST se puede realizar desde la perspectiva de un usuario autenticado o no autenticado. El escaneo DAST ofrece varios beneficios a los equipos de desarrollo y seguridad, como la realización de pruebas frecuentes y rápidas que ahorran tiempo y dinero al identificar las vulnerabilidades en una fase más temprana del ciclo de vida. Cuando el escaneo DAST se incluye como parte del proceso de integración y desarrollo continuos (CI/CD), se denomina»DevOps seguro» o»DevSecOps.»

Estas pruebas identifican las fallas de seguridad en las aplicaciones web y las API que podrían ser explotadas por los atacantes. Algunas herramientas populares de pruebas dinámicas de seguridad de aplicaciones son OWASP ZAP, Netsparker, Burp Suite, Acunetix, etc. Aquí es una lista completa de las herramientas de análisis de vulnerabilidades de OWASP.

¿Cómo funciona DAST?

Analicemos cómo funciona el escaneo DAST.

Identificación del objetivo: Este es el primer paso del proceso de escaneo DAST. En este sentido, el escáner DAST necesita entender qué es lo que va a probar. Este paso implica especificar la URL de las aplicaciones web o los puntos finales de la API, la tecnología y las URL excluidas. Esto puede incluir realizar pruebas sin credenciales (recuadro negro) o con credenciales (recuadro gris).

Arrastrándose: El segundo paso consiste en rastrear la aplicación de destino. El escáner DAST recorre las páginas web y las funcionalidades de la aplicación, mapeando el mapa del sitio y las URL con varias entradas y puntos finales para el siguiente paso.

Simulación de ataque: Una vez completado el rastreo, la herramienta utiliza el mapa del sitio recopilado en el paso anterior y simula los escenarios de ataque mediante su base de datos de ataques integrada. Introduce datos maliciosos con cargas útiles de ataque en los parámetros de URL, las cookies y los encabezados HTTP para probar y examinar la forma en que la aplicación responde a las cargas mal formadas.

Algunas técnicas comunes pero poderosas que utiliza DAST son borroso (inyectar datos abruptos) y manipulación de parámetros (cambio de entradas de usuario).

Análisis de las respuestas: En este paso, la herramienta analiza la respuesta de la aplicación para identificar las vulnerabilidades. Si la aplicación devuelve mensajes de error, se comporta de forma brusca o divulga información confidencial, la herramienta los marca como vulnerabilidades. Esta fase puede producir falsos positivos.

Presentación de informes: Una vez completado el análisis, la herramienta genera informes detallados sobre las vulnerabilidades identificadas, la gravedad de cada vulnerabilidad, sugerencias de remediación y otra información relacionada. El escaneo DAST puede tardar hasta 24 horas en completarse y generar el informe, según el tamaño y la complejidad de la aplicación de destino.

Volver a realizar la prueba: Una vez corregidas las vulnerabilidades, se puede volver a ejecutar la herramienta para validar que los problemas de seguridad se han abordado correctamente. Algunos escáneres ofrecen la capacidad automática de volver a comprobar las vulnerabilidades, como Blacklock, que puede ser una herramienta muy útil para los equipos de desarrollo.

Vulnerabilidades comunes identificadas por DAST

Ahora que hemos entendido qué es DAST y cómo funciona, repasemos algunas de las vulnerabilidades comunes identificadas por DAST.

Configuraciones incorrectas de seguridad

Conocido generalmente como»vulnerabilidades de bajo alcance», que es un problema común en las aplicaciones web. Las herramientas DAST son buenas para detectar estos problemas:

● Credenciales predeterminadas: detecta cuándo las aplicaciones siguen utilizando credenciales predeterminadas, comunes y débiles.

● Puertos y servicios abiertos excesivos: identificación de los servicios que se ejecutan en el servidor y que no deberían estar expuestos o mal configurados.

● Versiones de software desactualizadas: identificar cuándo las aplicaciones o sus componentes ejecutan versiones de software antiguas o desactualizadas.

● Recorridos de directorios: lista del contenido del servidor web para identificar los datos confidenciales.

Defectos de inyección

Las fallas de inyección surgen cuando se proporcionan datos no autorizados a un intérprete como parte de un comando o consulta. Los tipos más comunes son:

● Inyección SQL: Manipular las consultas de la base de datos para acceder, cambiar o eliminar datos sin autorización.

● Inyección de comandos: Ejecutar comandos arbitrarios del sistema en el sistema operativo host.

Secuencias de comandos entre sitios [XSS]

Secuencias de comandos entre sitios las vulnerabilidades, también conocidas como XSS, permiten a los atacantes insertar scripts maliciosos en páginas web que se ejecutan en el navegador de otro usuario. Las herramientas DAST pueden identificar y detectar los tres tipos de XSS:

● XSS reflejado: Esto ocurre cuando los scripts inyectados por el atacante se ejecutan inmediatamente en los navegadores de los usuarios sin desinfección, codificación de salida ni validación de entrada.

● XSS almacenado: Donde los scripts malintencionados se almacenan en la base de datos y luego se ejecutan en el navegador del usuario cuando otro usuario visita el campo o la página afectados.

● XSS basado en el modelo de objetos del documento [DOM]: Aquí es donde se producen las vulnerabilidades en los scripts del lado del cliente que manipulan el DOM del lado del cliente.

Exposición de datos confidenciales

Otro caso de uso de la herramienta DAST es identificar y denunciar la exposición de datos confidenciales, como:

● Divulgación de claves de API: detecta datos confidenciales que pueden estar codificados o almacenados en archivos JavaScript del lado del cliente.

● Mensajes de error detallados: identifique y detecte cuándo la aplicación arroja mensajes de error de rastreo de pila que revelen las rutas del servidor, el código fuente del backend y las rutas de los archivos.

● Transmisión de datos sin cifrar: DAST puede detectar cuándo se envía información confidencial a través de protocolos inseguros.

Además de estas, estas herramientas también pueden ayudar a identificar un enmascaramiento de datos inadecuado, si lo hubiera. Detecta cuando las aplicaciones no ocultan adecuadamente los datos confidenciales en las salidas o los registros, destacando las áreas en las que la información confidencial puede estar en riesgo.

Las líneas de fondo

En el panorama actual de la ciberseguridad, que evoluciona rápidamente, las organizaciones y las empresas deben priorizar las prácticas de seguridad de sus aplicaciones web. La adopción de las herramientas DAST es una de las mejores estrategias modernas de pruebas de seguridad que ofrece beneficios en términos de:

● Pruebas de seguridad continuas

● Detección temprana de vulnerabilidades

● Cobertura integral

● Ahorra tiempo y dinero

● Cumple con los requisitos de cumplimiento

● Enfoque inclinado hacia la izquierda para su viaje de seguridad

Sin embargo, su implementación presenta varios desafíos, como las altas tasas de falsos positivos, el alto costo, los requisitos de habilidades, la visibilidad limitada y los requisitos de prueba. A pesar de estos desafíos, las ventajas de DAST a la hora de identificar las vulnerabilidades críticas en una fase temprana del ciclo de vida ayudan a mejorar la seguridad general de la aplicación web, lo que la convierte en un componente esencial de cualquier programa integral de seguridad y desarrollo.

Share this post

Vulnerabilidades comunes identificadas por DAST: escaneo de vulnerabilidades de aplicaciones