Schützen Sie Ihre App und APIs vor Angreifern

Beim Dynamic Application Security Testing (DAST) wird eine laufende Webanwendung von außen gescannt (Blackbox), ähnlich wie ein Angreifer Ihre Website untersuchen würde. Es ist wichtig, weil es Sicherheitsprobleme aufdeckt, die erst dann sichtbar werden, wenn Ihre Anwendung in Betrieb ist - zum Beispiel Fehlkonfigurationen oder fehlerhafte Authentifizierungsabläufe, die beim bloßen Betrachten des Codes nicht auffallen würden. Kurz gesagt: Mit DAST können Sie reale Schwachstellen in Ihrer Webanwendung finden, bevor Angreifer sie finden.

Nicht ganz - es kommt auf die Art des Scans an. Aikidos DAST (auch Surface Monitoring genannt) simuliert keine bösartigen Payloads auf Ihrem Frontend, sondern testet aktiv Ihre APIs. Beim API-Scanning werden kontrollierte bösartige Payloads gesendet, um Schwachstellen zu finden. Es interagiert mit Ihrer Anwendung über HTTP und APIs, injiziert Testeingaben und beobachtet, wie Ihre Anwendung reagiert (und verhält sich dabei wie ein automatisierter Angreifer). AI Pentesting geht noch einen Schritt weiter und führt fortgeschrittenere simulierte Angriffe aus. Dieser dynamische Ansatz bedeutet, dass Ihre Anwendung in Echtzeit untersucht wird, ähnlich wie es ein externer Angreifer tun würde, anstatt nur den Code zu scannen.

Es ist sicher - Aikidos DAST ist so konzipiert, dass Ihre Produktionssite nicht belastet oder zerstört wird. Der Scanner vermeidet destruktive Tests; er führt zum Beispiel keine Brute-Force-SQL-Injektion durch, die Ihre Datenbank zum Absturz bringen könnte. Er konzentriert sich auf gängige Web-Schwachstellen, so dass Sie eine Sicherheitsabdeckung erhalten, ohne Ihre Anwendung während eines Scans zu beeinträchtigen oder zu destabilisieren.

Für die meisten Teams empfehlen wir, den DAST-Scanner von Aikido auf Staging- oder Produktionsendpunkten und nicht in der CI/CD-Pipeline einzusetzen. Unser aktuelles DAST ist für das Scannen von Live-Anwendungen mit Internetanschluss konzipiert, so dass es keinen großen Vorteil bietet, es in der CI auszuführen. Lokales DAST-Scannen (das in CI ausgeführt werden könnte) ist für die Veröffentlichung im vierten Quartal geplant und wird wahrscheinlich zuerst für Unternehmenstarife verfügbar sein. Bis dahin erhalten Sie die genauesten Ergebnisse, wenn Sie den Scanner auf eine Umgebung richten, die der Produktionsumgebung so nahe wie möglich kommt.

Aikidos DAST konzentriert sich auf Probleme, die es zuverlässig in Ihren Live-Endpunkten mit Internetanschluss erkennen kann. Dazu gehören viele der OWASP Top 10 Schwachstellen für APIs, wie z.B. SQL-Injection, Authentifizierungs- und Zugriffskontrollprobleme, unsichere Konfigurationen und die Offenlegung sensibler Endpunkte. Die vollständige und aktuelle Liste der Prüfungen können Sie hier einsehen: Aikido Security DAST-Prüfungen. Frontend-spezifische Scans sind ausgeschlossen, so dass die Ergebnisse eher auf serverseitige und API-Sicherheit als auf clientseitige Schwachstellen ausgerichtet sind.

Die DAST-Scans von Aikido sind schnell - die meisten sind in etwa zwei Minuten abgeschlossen, selten in mehr als vier. Sie sehen die Ergebnisse fast sofort nach Beginn des Scans, sodass Sie nicht warten müssen. Die genaue Zeit hängt von der Größe und Komplexität Ihrer Anwendung ab, aber der Scanner ist auf schnelles Feedback ausgelegt, damit Entwickler schnell handeln können.

Ja - Aikidos DAST kann Ihre APIs scannen, aber es entdeckt nicht automatisch Endpunkte von Ihrem Frontend. Für das API-Scannen können Sie entweder eine OpenAPI-Spezifikation importieren (aus dem Code generiert oder manuell) oder Zen für die Endpunkt-Erkennung verwenden. Einmal konfiguriert, testet der Scanner Ihre API-Endpunkte (einschließlich REST und GraphQL) auf Schwachstellen. Das bedeutet, dass Sie keinen separaten API-Scanner benötigen - stellen Sie einfach sicher, dass Ihre Endpunkte definiert sind, damit Aikido sie effektiv anvisieren kann.

Aikidos DAST verwendet eine Teilmenge der sicheren OWASP ZAP-Scans und fügt dann seine eigene Rauschunterdrückung und Deduplizierung hinzu, damit Sie nur relevante Ergebnisse sehen. Sie erhalten eine Erkennung auf ZAP-Niveau ohne Rauschen, manuelle Einrichtung oder Konfigurationsmanagement - die Lösung ist schnell, wartungsarm und einfach zu handhaben.

Nur wenn Sie authentifizierte Prüfungen durchführen möchten. Aikido unterstützt keine Anmeldeskripte, aber Sie können uns Authentifizierungsdaten zur Verfügung stellen, damit wir zusätzliche Tests durchführen können - z. B. die Überprüfung der gelieferten Token auf allgemeine Schwachstellen. Für das Frontend-Scanning liegt der Hauptvorteil in der Aktivierung dieser zusätzlichen Prüfungen. Sie können die "authentifizierten" Regeln in Ihren Einstellungen hier einschalten: Aikido DAST-Prüfungen. Wenn Sie keine Anmeldedaten angeben, scannt der Scanner nur Ihre öffentlich zugänglichen Endpunkte.

Nein - der DAST Frontend-Scanner von Aikido konzentriert sich auf das Aufspüren einfacher zu erkennender Fehlkonfigurationen, die Ihre Webanwendung öffnen könnten, und hilft Ihnen, gängige Risiken schnell zu beheben. Für eine tiefere Abdeckung - wie komplexe Fehler in der Geschäftslogik oder fortgeschrittene Angriffssimulationen - sind Tools wie AI Pentesting und API Security Scanning besser geeignet. Automatisierte Scans behandeln die alltäglichen Probleme, während gelegentliche manuelle oder erweiterte Tests sicherstellen, dass Sie die schwieriger zu entdeckenden Schwachstellen finden. Aikido wird die Abdeckung in diesen Bereichen in Kürze erweitern und mehr dieser tiefgreifenden Tests direkt in die Plattform einbringen.