Aller au contenu principal

DAST (Dynamic Application Security Testing)

Le DAST teste une application en cours d’exécution, de l’extérieur, en lui envoyant des requêtes malveillantes pour détecter injections, XSS et défauts de configuration.

Le Dynamic Application Security Testing, ou DAST, teste une application pendant qu’elle tourne, de l’extérieur et sans accès au code source. L’outil explore l’application comme le ferait un utilisateur, cartographie ses pages et ses API, puis injecte des payloads dans chaque paramètre pour provoquer des comportements révélateurs : injection SQL, XSS, traversée de répertoires, défauts de configuration. C’est l’approche « boîte noire » de l’analyse de sécurité applicative.

Sa grande force tient en un mot : la preuve. Quand un DAST remonte une injection, c’est qu’il l’a déclenchée sur l’application réelle, avec sa configuration réelle ; le taux de faux positifs est donc structurellement plus bas qu’en analyse statique. En contrepartie, sa couverture dépend de ce qu’il parvient à explorer, et les parcours derrière authentification ou la logique métier lui échappent en partie.

Le DAST se combine naturellement avec le SAST, qui lit le code, et les deux trouvent leur place dans la chaîne de livraison, comme nous le montrons dans nos articles SAST, DAST, IAST à l’ère de l’IA et intégrer SAST et DAST dans la CI/CD.

Termes liés

Les définitions posent le vocabulaire, mais rien ne remplace un état des lieux concret. Si vous voulez savoir ce que ces concepts donnent sur votre propre périmètre, notre plateforme EASM cartographie votre surface d’attaque externe à partir d’un simple nom de domaine, et notre équipe répond sous 24 heures via la page contact.

    DAST : définition | own2pwn