DAST (Dynamic Application Security Testing)
Le DAST teste une application en cours d’exécution, de l’extérieur, en lui envoyant des requêtes malveillantes pour détecter injections, XSS et défauts de configuration.
Le Dynamic Application Security Testing, ou DAST, teste une application pendant qu’elle tourne, de l’extérieur et sans accès au code source. L’outil explore l’application comme le ferait un utilisateur, cartographie ses pages et ses API, puis injecte des payloads dans chaque paramètre pour provoquer des comportements révélateurs : injection SQL, XSS, traversée de répertoires, défauts de configuration. C’est l’approche « boîte noire » de l’analyse de sécurité applicative.
Sa grande force tient en un mot : la preuve. Quand un DAST remonte une injection, c’est qu’il l’a déclenchée sur l’application réelle, avec sa configuration réelle ; le taux de faux positifs est donc structurellement plus bas qu’en analyse statique. En contrepartie, sa couverture dépend de ce qu’il parvient à explorer, et les parcours derrière authentification ou la logique métier lui échappent en partie.
Le DAST se combine naturellement avec le SAST, qui lit le code, et les deux trouvent leur place dans la chaîne de livraison, comme nous le montrons dans nos articles SAST, DAST, IAST à l’ère de l’IA et intégrer SAST et DAST dans la CI/CD.